フィッシング攻撃を回避するにはどうすればよいですか? (サイバーセキュリティ)

不審な URL の認識

1. リンクをクリックする前に必ずドメイン名を検査してください。攻撃者は、正規のドメインを視覚的に模倣する非ラテン文字の文字を使用した同形文字攻撃をよく使用します。

2. HTTPS と有効な SSL 証明書を確認します。ただし、暗号化によって正当性が保証されるとは考えないでください。現在、多くのフィッシング サイトは信頼できるように見せるために TLS を導入しています。

3. クリックせずにリンクの上にマウスを移動すると、ブラウザのステータス バーまたはツールチップで実際のリンク先がプレビューされます。表示されるテキストと実際の URL との相違は、欺瞞を示しています。

4. 信頼できるツールで検証しない限り、短縮 URL は避けてください。これらは真のエンドポイントを曖昧にし、資格情報収集キャンペーンで頻繁に悪用されます。

5. 検索結果や電子メールのリンクに頼るのではなく、公式の取引所とウォレット サービスのページを手動でブックマークします。これにより、偽装されたインターフェイスへの誤ったリダイレクトがなくなります。

電子メールの信頼性の検証

1. 送信者のアドレスを注意深く精査します。攻撃者は、「binanace-support.com」や「metamask-verify.net」などのドメインを登録して、実際のサービスになりすまします。

2. 文法上の誤り、一貫性のないブランド表示、緊急の文言 (「2 時間以内にアカウントが停止されます!」)、および不一致のロゴを探します。これらは、ほとんどのフィッシング攻撃において危険信号です。

3. ウォレットの更新、KYC フォーム、またはセキュリティ警告が含まれていると主張する迷惑メールの添付ファイルは決してダウンロードしないでください。そのようなファイルには、暗号通貨ウォレットをターゲットとするマルウェアが含まれていることがよくあります。

4. SPF、DKIM、DMARC の検証ステータスについて電子メール ヘッダーをクロスチェックします。正規のプラットフォームでは、厳格な電子メール認証ポリシーが適用されます。

5. 疑わしいメッセージに返信するのではなく、公式 Web サイトのチャネル経由で直接サポートに連絡します。返信先アドレスは簡単に偽造されます。

ウォレットインタラクションの保護

1. 分散型アプリケーションにアクセスするときは、ブラウザの自動入力機能を無効にします。悪意のある dApp は、自動入力されたシード フレーズまたは秘密キーをキャプチャするスクリプトを挿入する可能性があります。

2. すべての重要な保有物にはハードウェア ウォレットを使用し、署名する前にデバイス上で取引の詳細を確認します。画面オーバーレイと偽の MetaMask ポップアップにより、ユーザーが不正送金を承認するように騙されています。

3. Web サイトが「リカバリ ポータル」であると主張する場合でも、Web サイトにシード フレーズを入力しないでください。正規のサービスがオンラインで完全なニーモニック バックアップを要求することはありません。

4. MetaMask などの信頼できるブラウザ拡張機能は、公式ソースからのみインストールしてください。サードパーティ ストアの偽造バージョンにより、1 億ドル以上のデジタル資産が盗まれています。

5. サポートされている場合は、EIP-712 署名検証を有効にします。これにより、署名リプレイ攻撃が防止され、契約対話中のメッセージの整合性が確保されます。

多要素認証の実践

1. Exchange アカウントには SMS ベースの 2FA よりも認証アプリを優先します。SIM スワップは、依然として暗号通貨取引所のログインをハイジャックする主要なベクトルです。

2. バックアップ コードを安全な物理的な場所にオフラインで保存します。クラウド同期されたメモや暗号化されていないスクリーンショットは、攻撃者に回復パスを公開します。

3. プラットフォームごとに一意の複雑なパスワードを使用し、定期的にローテーションします。クレデンシャル スタッフィング攻撃は、複数の交換で再利用されたクレデンシャルを悪用します。

4. 価値の高いアカウントに WebAuthn 互換のセキュリティ キーを登録します。FIDO2 標準は、暗号化チャレンジを特定の送信元にバインドすることでフィッシングの危険性を排除します。

5. Exchange セキュリティ ダッシュボードを通じてアクティブなセッションを毎月監査します。未承認のデバイスや見慣れない IP の場所は、以前の侵害を示している可能性があります。

よくある質問

Q: 新しいトークンリストへの「早期アクセス」を提供すると主張する Telegram グループを信頼できますか?いいえ。公式トークンの発売は、非公式 Telegram グループのみを通じて行われることはありません。検証済みの発表は常に、プロジェクトが所有する Twitter/X アカウント、公式 Web サイト、または Binance Launchpool などの監査済み Launchpad プラットフォームから発信されます。

Q: CoinGecko に掲載されているという理由だけで、私のウォレットを新しい DeFi プロトコルに接続しても安全ですか?いいえ、CoinGecko の上場は、セキュリティ監査の完了やスマート コントラクトの整合性を意味するものではありません。対話する前に、CertiK や OpenZeppelin などの企業からのサードパーティ監査レポートを必ず確認してください。

Q: 誤ってフィッシング サイトにシード フレーズを入力してしまった場合はどうすればよいですか?侵害されたウォレットから新しく生成されたエアギャップウォレットにすべての資金を直ちに転送します。完全な制御が失われたと想定し、元のシードを公開されているものとして扱います。

Q: VPN を使用するとフィッシング攻撃から保護されますか?いいえ、VPN はデバイスとインターネット ゲートウェイ間のトラフィックを暗号化しますが、欺瞞的な Web サイト、悪意のあるリダイレクト、またはフィッシングで使用されるソーシャル エンジニアリング戦術に対してはまったく保護しません。