[悪用厳禁] フィッシングサイトは5秒で作れる。自分の身を守るために必要な知識についての話

2023年9月10日

セキュリティ プログラミング 学習

eyecatch 先日、うちの嫁のクレジットカードが不正利用されてしまいました。 唐突に、カード会社から電話がかかってきて、「昨夜の12時ぐらいに、20万円ぐらいのパソコン買いました?」って聞かれて、思い当たるフシもありません。 嫁もデジタル機器を買うわけもないので、そう伝えると、不正利用だとのことで、他の買い物も合わせて40万円ほどが一気に使われていたそうです。 嫁のカードなので、どこかでスキミングにでもあったのかと思ったんですが、最近クレカを使っておらず、唯一使ったのが先日、子供が友達と一緒に遊びに言っくために、ディズニーランドのチケットをネットで買おうとした時なのだそうです。 チケットが安く変えるというサイトを見つけて、クレジットカードの番号を入力して、購入ボタンを押したら、「正常に処理できませんでした」というメッセージが出たのだというのです。 出た!これ、フィッシングサイトですから・・・ それを知らずに、ノホホンと過ごしていた裏で、クレジットカードを悪用されまくっていたというのが、ホント呆れるやら歯がゆいやら・・・ でも、こうした被害にあっている人も多いんでしょうね。

フィッシング詐欺について

テレビなどでも、ネット詐欺被害の話をよく見かけるようになりました。 中でもフィッシング詐欺というのが、悪質でよく取り上げられています。
フィシング詐欺とは 最近はEメールやSMS(ショートメッセージサービス)にて銀行やクレジットカード会社、大手通販サイトなど実際にある企業に見せかけて、カード番号・ID・パスワード・口座情報などを詐取する犯罪が増加しています。 このページでは私たちが業務を通じて把握したフィッシング詐欺の手口やその詳細、対応方法や未然防止策についてご紹介します。 参考 : りそな銀行
巧妙に作られたフィッシングサイトって、職人芸のように作っているかと思いがちですが、実はこれ、5秒もあれば、作れてしまうぐらい誰でも簡単に作れてしまうんですよ。 この様なフィッシングサイトを「すごい」とか「本物と見分けがつかない」と思って諦めてしまいがちなIT弱者の人に少しでも知識をつけてもらいたくて、今回のブログを書いてみました。

フィッシングサイトの5秒クッキング

1. 事前に用意するもの

・パソコンとインターネットブラウザで、コピーしたいwebページを表示します。 ・次に、ソースコードを書き込むテキストエディタを用意してください。 テキストエディタは、OSに始めからインストールされているメモ帳でも何でも構いません。

2. ソースコードの取得

まず、コピーしたいwebページの、新鮮なソースを表示します。 インターネットブラウザで、表示しているページの画面を右クリックすると、「ページのソースを表示」というメニューがあると思うので、それを選択するだけです。 HTML言語での、そのページのソースコードが表示されるので、そのページの文字列を全てコピーして、テキストエディタに貼り付けて「index.html」という名前でファイルを保存しましょう。

3. 魔法の命令のbaseタグ

貼り付けたhtmlファイルの中のタグなどについて詳しく知る必要は全くありません。 多くの場合、そのソースコードは、次のように書き始めていると思います。 <!DOCTYPE html> <html lang='ja'> <head> ... このheadタグの後ろに次のようにおまじないを登録してみましょう。 <!DOCTYPE html> <html lang='ja'> <head><base href='コピーしたいページのURL'> ...
書き込んだら、鮮度が落ちないうちに保存してください。

4. インターネットブラウザで開く

書き込んだ、index.html をインターネットブラウザのアイコンにドラッグして開いてみましょう。 すると、あら不思議、全く同じページが立ち上がったはずです。
※たまに、エラーになるページもありますが、多くの場合、これだけで、webページのコピーは作れてしまいます。 アドレスバーを見てもらうと、http://ではなくて、ローカルファイルを開いているのが分かると思います。

baseタグってどういう時に使うモノなの?

そもそも、このbaseタグってフィッシングサイトを作るためのモノのようにも思えてしまいますよね。 でもそんなワケは無く、本来はどういった使い方をするのかというと、 例えば、Gitなどの管理をしている時に、次のようなフォルダ構成になる場合があります。 / .git/ docs/ develop/ public/ sample/ .gitignore この場合、本番サーバーにデプロイして、次のようなアクセスURLになってしまう場合、
https://example.com/public/index.html
root部分にindex.htmlを新設して(publicからコピーして)、次のようなbaseタグを書くことで、階層を隠すことができるようになります。 <base href='/public'>
https://example.com/(index.html)
ただし、html内に書かれているAリンクタグのリンク先がサイト内リンクになっている(相対パスで書かれている)場合は、URL先がbaseタグに書かれた階層になるので設計を見直す必要はありますね。 ※あまりこうしたやり方は使わないので、あくまでibaseタグを使ってndex.htmlだけのURL隠す技だと、考えてください。

フィッシングサイトの見抜き方

最後に、フィッシングサイトを見抜く方法ですが、テレビやwebページで色々と注意喚起されていますが、改めて次のような点に気をつけましょう。 スパムメールなどで届く不正なリンクにアクセスしてはいけないと言われますが、リンクにアクセスしただけだと何も危険はありません。 おそらくリンク先でカード番号や、個人情報を入力してしまうことを未然に防ごうと考えて、リンククリックをそもそもしないように促しているだけです。 もちろん、リンクをクリックしないのが一番有効なのですが、メール文面がプレーンテキストの時であれば、アクセス先のURLを見て、不正っぽいドメインかどうかを判定することができますが、 今時は、ほぼリッチテキスト(画像やHTMLタグなどがメール文面に埋め込むことができる方式)だし、LINEやチャットツールなどによる不正URLへのリンクは判断のしようがありません。 なので、リンク先で、しっかりとドメインを見極めるという事をするようにしましょう。

ログインは違えてみても良い

多くの場合のフィッシング詐欺サイトは、ログイン情報を入力させて、サイトに入る手段を入手します。 なので、試しにこうしたサイトで、本番と同じパスワードを入力すると、もうアウトです。 でも、不正サイトでは、間違ったパスワードを入力してみると色々な光景が見えてきます。 本当のサイトであれば、パスワードが間違っているとのエラーページが表示されますが、たまに「メールをお送りしました。しばらくお待ち下さい」などというトンチンカンなメッセージを出す場合もあります。 また、パスワードが間違ったページがなんとも簡素になっていて、不正丸出しの場合もあったりもします。 要するに、正しいパスワードを入力しなければいいだけなんですね。

ITに詳しい人の思考

ITに詳しい人は、こういう場合はサイト構成などを詳しく見に行って、そのサイトを構築した人のプロファイリングなどを行い始めます。 日本語の「てにをは」が、微妙に(大幅に)間違っている場合は、外国人によって作られている場合が多いでしょうし、 表示されているページのドメインから、IPアドレスを逆引きしたり、whoisで調べたり、取得したIPアドレスをIPひろばで検索してみたりもします。 ITは、スキルのイタチごっことはよく言ったもので、レベルの低い不正主が公開している場合は、可能な限り個人特定をしに行くことが可能かもしれません。 なんだか、世直しねずみ小僧みたいな、IT探偵っぽくなってますね。 あれ?こういう活動ってちょっt面白かったりしません?

このブログを検索

ごあいさつ

このWebサイトは、独自思考で我が道を行くユゲタの少し尖った思考のTechブログです。 毎日興味がどんどん切り替わるので、テーマはマルチになっています。 もしかしたらアイデアに困っている人の助けになるかもしれません。