セキュリティの教育・研究機関である米SANS Instituteは2007年5月16日、SNS(ソーシャル・ネットワーキング・サービス)のユーザーは、フィッシング詐欺のターゲットになりやすいとして注意を呼びかけた。SNSは比較的閉じたコミュニティであるため、フィッシング詐欺師のわなを信用しやすいという。
SANS Instituteのスタッフは公式ブログにおいて、あるWebサイトに掲載されている、フィッシング詐欺師へのインタビューを紹介。インタビューによると、その詐欺師は「MySpace」や「Facebook」、「LinkedIn」といったSNSのユーザーを対象にフィッシングを繰り返して個人情報を詐取。その情報を売りさばくことで、1日に3000ドルから4000ドルを手にしているという。
また、米インディアナ大学の研究者が実施した調査結果も引用。それによると、SNSの知り合いから送られたように見せかけた偽メールには、受信者の72%がだまされたという。一方、全く知らないところから送られた偽メールにだまされたのは15%にすぎなかった。
SNSユーザーは、個人情報を公開していることが多い。これも、フィッシング詐欺の標的になりやすい原因の一つ。公開されている個人情報を偽メールに盛り込むことで、フィッシング詐欺を成功しやすくできる。
実際、迷惑メール対策やウイルス対策のシステムを開発する英MessageLabsによれば、メールの本文中に、相手の名前や住所、郵便番号といった個人情報を記述して信用させようとする偽メール(フィッシングメール)が、最近増えているという。これらの情報は、SNSのサイトから収集されている可能性が高いとする。
こういったフィッシング詐欺の被害に遭わないための対策として、「SNSサイトで公開する個人情報を制限する」「信頼できる相手だけに公開する」ことなどを、SANS Instituteでは挙げている。
企業や組織に対しては、「SNSサイトの利用にはリスクが伴うことを社内ユーザーに啓蒙する」「社内ユーザーのSNS利用を管理する」ことが重要だとする。
