フィッシング攻撃の95%以上が銀行や金融セクターを標的にしている

銀行への攻撃増加

情報通信省（MIC）のデータによると、2023年上半期に同省はインターネットユーザーから詐欺行為に関する報告を4,000件以上受け取った。そのうち95%以上は銀行や金融業界を狙った詐欺行為です。特に、銀行がデジタル変革をより深く進めるにつれて、サイバーセキュリティのリスクも増大します。

国家サイバーセキュリティ監視センター（情報セキュリティ部門）の報告書によると、2023年の最初の7か月間にベトナムで情報システムにインシデントを引き起こすサイバー攻撃が9,519件あったことも記録されている。これを受けて、同センターは、銀行や金融機関などを装った多数のページを含む 926 件の不正ウェブサイトをブロックしました。

CDNetworks Vietnamのディレクターであるファン・ヴィエット・リン氏は、現在、銀行はさまざまな攻撃手法によるレイヤー3/4、レイヤー7のDDoS攻撃やWebアプリケーションへの攻撃に頻繁に直面していると語った。 CDNetworks の統計によると、攻撃の 87% 以上は 2 つ以上の攻撃方法を組み合わせたものです。さらに、銀行システムはグローバルアプリケーションとの接続が遅くなるというリスクにも直面しており、顧客体験に大きな影響を与えています。

一方、カスペルスキーによれば、サイバー攻撃の最大の脅威は、トロイの木馬ウイルスを通じて被害者のコンピュータの脆弱性を悪用することである。バックドア - 最も危険なタイプのマルウェアの 1 つで、被害者のデバイスに侵入すると、サイバー犯罪者にリモート制御を与えることになります。 APT - スパイウェア;または、潜在的に不要なアプリケーション (PUA) が誤って携帯電話やコンピューターにインストールされる可能性があります...

さらに、犯罪者の攻撃は金融機関を直接標的とするのではなく、中小企業や個人を通じて行われることが多いです。今年上半期だけでも、カスペルスキーは東南アジアの中小企業を狙ったマルウェア攻撃を昨年の同時期と比べて4倍多くブロックしました。これらのうち、ベトナムが攻撃を受けた国のトップに位置し、インドネシアとタイがそれに続いている。

NCSテクノロジー社によると、2023年上半期に、ドメイン名が.gov.vnの政府機関やドメイン名が.edu.vnの一部教育機関のウェブサイトが攻撃を受け、ハッカーに侵入され、最大400近くのウェブサイトにギャンブルや賭博の広告コードが挿入されたという。 NCSの技術部長であるヴー・ゴック・ソン氏は、これはかなり憂慮すべき数字だと語った。なぜなら、ハッカーは広告リンクを挿入できるだけでなく、システムを制御すれば、ユーザーの個人データを含むデータベースを盗むことができ、近い将来には悪意のあるコンテンツやリンクを投稿してマルウェアを拡散させることもできるからだ。

「見直しと修正に加え、政府機関や組織はウェブサイトや情報ポータルシステムに真剣に注意を払い、専門部隊を手配したり、業務をアウトソーシングしたりして、ネットワークのセキュリティを確保すべき時が来ている」とヴー・ゴック・ソン氏は勧告した。

強化された多層セキュリティ

情報通信省情報セキュリティ局（ATTT）の副局長トラン・ダン・コア氏は、政府機関、企業、ユーザーが情報技術とインターネット サービスをますます活用していると述べました。これは避けられない傾向ですが、政府機関、組織、企業、ユーザーが十分な認識を持っていない場合、または認識していても適切な情報セキュリティ対策を実施していない場合、サイバー攻撃のリスクが高まり、評判や経済へのダメージにつながります。

ファン・ヴィエット・リン氏によれば、銀行・金融部門は経済において「生命線」の役割を果たしており、マクロ経済の安定に大きな影響を与えている。会員および顧客データが大量にあるため、特に顧客情報のセキュリティと銀行データのセキュリティ全般は、すべての部門にとって必須の要件です。したがって、この分野の組織や企業は、最新のテクノロジーを備え、多層セキュリティ機能を継続的に強化する必要があります。

さらに、銀行は顧客の口座を盗むための新たな詐欺の手口についても定期的に警告を発する必要がある。具体的には、迅速な融資や迅速な手続きなどをサポートするために銀行員になりすましたウェブサイト/ファンページ/Facebook リンクにはアクセスしないでください。ウェブサイト、アプリケーション、コンサルタントの身元を正確に特定せずに、個人情報（ID カード/市民 ID カード、住所、顔認識画像など）を提供しないでください。銀行口座情報、メールボックスに送信された OTP コード、携帯電話番号を対象者に提供しないでください。他人に誘われて、見知らぬ人から提供された個人口座に送金しないでください...

銀行だけでなく、企業、特に中小企業も、最も標的を絞った高度なサイバー攻撃と戦うためにセキュリティチームに装備、情報提供、ガイドを提供するための包括的な防御コンセプトを持つべきだという意見が多くあります。特に、仕事や日常生活に欠かせないスマートフォンにおいては、オンライン上での攻撃や詐欺行為を防ぐための知識とスキルを各個人が身に付ける必要があります。また、ユーザーはアプリケーションアカウントに対して多層的なセキュリティを使用する必要があります。

実際、ほぼすべての人がモバイル デバイスに電子ウォレットを持っており、金融取引には Android フォンが最も多く使用されています。カスペルスキーの統計によると、インドネシア人とフィリピン人の82%がモバイル取引にAndroidデバイスを使用しており、マレーシアでは76%、タイでは73%、ベトナムでは67%、シンガポールでは54%となっている。

モバイルバンキングに加え、携帯電話は電子メールや企業資産へのアクセスにも使用される。サイバーセキュリティの専門家は、多くのサイバーセキュリティ企業が感染したモバイルデバイスを通じて企業システムに侵入するAPT攻撃の事例を発見しており、これは企業にとってリスクであると考えていると述べている。具体的には、被害者のスマートフォンにインストールされているソーシャル ネットワーキング アプリケーションを通じて、APT は Android または iOS の脆弱性を悪用して活動します。

カスペルスキーのフィッシングレポートでは、同社のモバイルソリューションが昨年、メッセージングアプリからのフィッシングリンクをクリックする試みを360,185件ブロックしたことも明らかにした。このうち、82.71%はWhatsAppから、14.12%はTelegramから、3.17%はViberからでした。

情報通信省の予測によると、今年最後の数か月間は、オンライン詐欺、サイバー攻撃、APT標的型攻撃が引き続き発生するだろう。しかし、ジャンク銀行口座の排除に当局が関与し、特に個人情報保護に関する法令が発効したことで、トラン・ダン・コア氏はこれが詐欺事件がすぐに解決される基礎となることを期待している。