[悪用厳禁] フィッシングサイトはいとも簡単に作れてしまう

2020年1月25日

テクノロジー

t f B! P L
自宅で使用しているインターネットプロバイダのメール用DNSがどうやらハッキングされていて、妙にパスワード入力を求めるメールが毎日のように送られてきている、ユゲタです。 そのインターネットプロバイダも気がついたらしく、先日メールのURLをクリックしてログインしないように警告するメールが届きました。 もはや、そのメールすら信用できなくなりますねwww このような、偽メールに書かれているURLをクリックしたらどうなるのでしょうか? コンピュータに詳しくない人はこうした仕組みをなかなか理解できないでしょうが、こうしたメールのURLをクリックしてもほとんどの場合は個人情報を盗まれるという事はありません。

詐欺URLの判別方法

ただ、メールアドレスの生死確認をされてしまって、有効リストに加えられるというデメリットはありますが、個人情報を抜かれるレベルではないので、安心してもいいんですが、危うきは近寄らずと言うことでクリックしないに越したことはありません。 こうした詐欺メールのリンクをクリックした先はいったいどうなっているのかと言うと、「フィッシングサイト」になっています。 詐欺メールかどうかわからない状態で、フィッシングサイトへ遷移するのか、本物のサイトへ遷移するのかを見分ける方法は以下のような方法で可能です。 1. URLの開始が"https://"ではなく、"http://"になっている。 2. ドメインが、そのサービス(金融機関)と違っている 3. そもそも、本来では確認されないような内容が書かれている

1. URLの開始が"https://"ではなく、"http://"になっている。

これは、詐欺師側のスキルが非常に低い証拠でもありますが、セキュアプロトコルを使わずにurlをセットしている段階で、詐欺メールだとバレてしまいます。 ここ最近のサイト(特にログインを行うようなセキュリティサイト)では、個人サイトであっても、httpsプロトコルを使わなければいけません。

2. ドメインが、そのサービス(金融機関)と違っている

ドメインが明確に違うので、判別は簡単だろうと考えていると、ここ最近では非常にURL偽装も巧妙化されていて、以下のようなケースの場合、判断が難しいケースもあります。 yahooからのメールの場合、"yahoo.co.jp"が正解なのだが、"yah00.co.jp"となっている。 amazonからのメールの場合、"amazon.com"が正解のところ、"amaz0n.com"となっている。 金融機関(仮)からのメールの場合、"kinyu.co.jp(仮)"のアドレスが、"kinyu.hogehoge.co.jp"となっている。 上記のような場合は、明らかに偽装URLなのですが、"o(オー)"が"0(ゼロ)"になっている所は目で見てわかるかもしれませんが、 3つめの金融機関の偽アドレスは「サブドメイン」を理解していないと、hogehogeがなんとなく本物っぽい名称になっていると、気が付かない人も多いはずです。

3. そもそも、本来では確認されないような内容が書かれている

そもそも、何かしらの設定を確認するか、パスワード変更をしてください、的な事が書かれていて、そのために一度ログインを促されるのですが、 多くの場合そうした促しはあまりされないのが現状です。 よほどこうしたシステムに詳しくないと素人では見極めは確かに難しいのですが、文面などに誤字脱字がある場合、海外の犯罪者が日本語の機械翻訳をしているケースも少なくないので、その場合は、日本語が明らかに変という状態にはなっているのも見かけます。

詐欺メールのリンクをクリックをした先の話

実際にクリックした先の「フィッシングサイト」は、本番さながらで、見分けがつかないという事は、テレビのニュースなどで本物と偽物の違いを間違い探しのように見せられることがありますが、 美術品の贋作のように、作るのに技術がいるという事は、フィッシングサイトには全く無く、5秒ぐらいあれば、誰でも簡単に作れてしまいます。 ようするに、ページの見た目はプロでも全く分からない状態で表示されてしまうのですが、ここで怖いのは、ログインをして次のページに進むという行動です。 フィッシングサイトでログインをすると、ほとんどの場合が「ログインに失敗しました」画面に行きます。 実際は、そのIDとパスワードを偽サイトのデータベースに溜め込まれて、詐欺実行グループに、本物サイトでログインできる情報を教えている状態になります。 そうなんです、フィッシングサイトの目的は、ログインパスワードを本人に打ち込ませるために作られているんです。

5秒で作れるフィッシングサイト

いとも簡単に作れてしまうフィッシングサイトとは、一体どうやって作るのでしょう?

フィッシングサイト5秒クッキング

1. 偽サイトを作りたいログインページを開く。(本物サイト) 2. ブラウザのメニューから「ソースを表示」を選択して、htmlを表示する。 3. テキストエディタにソースを保存して、ファイル名を付けて保存する。(phishing.html) 4. headタグの一番上部に以下のbaseタグを書く
<html> <head> <base href="http://kinyu.com"> ... baseタグのherf属性に本番サイトのURLを入れる。 上記の手順で保存されたphishing.htmlをサーバーにアップせずに、そのままブラウザで開いてみると、あら不思議、本物ページと全く同じ状態で、cssもjsも、その挙動もほとんどそのまま再現されます。

フィッシングサイトの認識違い

こうして作られたフィッシングサイトは、プロでも見分けるのが難しく、見極めるポイントは、アドレスバーでのURLでしか行えない状態になります。 もちろん、サイト運営側においても、こうしたフィッシングサイトを防止するためにセキュリティサービスが世の中にいくつかありますが、どれも完璧に防ぐことができるという方法は今の所はありません。 もし仮にこうしたフィッシングサイトを使われたくないのであれば、ログイン方式の認証方法を、これまでにない別の方法にするほうがよほど有意義なのですが、多くのサイトが、メールアドレスとパスワードでログインする方式をとっているのが現状です。 指紋認証や、顔認証など、スマホでも独自の認証方式が広まっている仲、最もセキュリティを高めなければ行けないフィンテック領域での認証方式は、まだまだ技術後進状態であるため、ユーザーの被害や心配も尽きないことでしょう。 今後、このエリアでの、新たな認証方式は、大きなビジネスチャンスと考えても良いかもしれませんね。 世の中で被害にあった人の事を考えると、今後の被害を減らせる非常に良い取り組みになることもよくわかります。 余談ですが、「フィッシング」サイトをずっと「fishingサイト」だと思っていたんですが、「phishingサイト」が正解であるということを知ったのは、つい最近のことです。 釣りサイトという言葉とマッチしていたので、疑いもしていなかったんですが、phishingという単語は、
インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為 (例:ユーザ名、パスワード、クレジットカード情報)
という意味なのだそうです。

このブログを検索

プロフィール

自分の写真
プログラミングとサーバーを心の底から楽しむクリエーターです。 経営者であり、開発者でもありますが、得意としているのは、アイデア創出で、出来高は無限大です。

ブログ アーカイブ

QooQ