更に巧妙になってきているフィッシングメールですが、よく使われるタイトルとして、金銭関連、ログイン情報関連、通販関連などが挙げられます。実在する実際の企業を装い、偽装サイトへと誘導し情報を盗み出そうとします。
・「重要:至急確認してください。」など、急がせる内容
ユーザーがメールをクリックする前に1秒でも考える時間があれば、それはサイバー攻撃者達にとって不利に働きます。ユーザーができるだけ早く決定を下すように仕向けるように、このようなタイトルを使用します。
・領収書/請求書など
金銭的な内容が最も人の好奇心を刺激する、と言えます。金銭というものがどれだけ強力な動機であるか、が見て取れます。サイバー攻撃者達もこの部分をよく理解しているからこそ、このようなタイトルを好んで使用します。似たようなタイトルとして「返金完了」「送金完了」などがあります。自分にお金が戻ってくるというタイトルは、多くのユーザーがまずクリックしてみる為です。
・銀行名、取引先企業名など
一般職員を狙うフィッシング攻撃以外に、企業や組織の経営陣を狙うフィッシング攻撃もあります。このようなフィッシングメールは特にしっかりとした文法を使用し、更に専門的な内容を含んでいます。フィッシングメールの精度を上げる為、より多くの時間を準備に投資しています。よって本質的には同じフィッシング攻撃でも、CEOを狙う攻撃とそうでない攻撃は一般的に区別されます。特に運営陣を狙うフィッシング攻撃は「ホエーリング攻撃(whaling attack)」と呼ばれます。
より高い職位にあるユーザーを狙うサイバー攻撃者は、フィッシングメールを最大限本物のように装います。企業が実際に取引している銀行の名前をタイトルに入れる事も、方法の内の一つです。同じ「重要」というタイトルでも、実際の取引銀行の名前が付いていればより本物さが増します。取引銀行がどのように顧客へメッセージを送っているのかを研究、調査し、文章や雰囲気を真似て本文を作成すれば、まるで本物のようなメールを作ることが可能となります。
他にもAmazonやApple、Adobeからのお知らせを装うフィッシングメールも数多く報告されています。各企業も注意喚起しており、不用意に添付ファイルを開いたり、本文中のリンクを踏まないよう注意することが重要です。