2007年は中間者攻撃に要注意(1)本物のサイトと連動し、正しい情報の入力を求める
1月3日、『Washington Post』のSecurity Fixでブライアン・クレブズが今年初めてのフィッシング詐欺として、偽のAmazon.comのログインページを使ったケースについて報告している。
特集
特集
クレブズはこのサイトについては、ボランティアベースのウェブセキュリティとプライバシーに関するウェブサイトCastlecops.comのポール・ローダンスキーから情報を得たという。フィッシングのための最初の“餌”は、ユーザーに対して、権限なしのアクティビティ、つまり何者かが不正に使用しようとしていたと警告するe-mailだ。受信したユーザーが慌ててAmazon.comにログインすると偽のサイトにアクセスする。
サイトはAmazon.comのログインページそっくりで、ロゴはもちろん、本物と同様に“FindGifts”のタグまで使用している。さらに注目すべきことは、入力したe-mail アドレス、パスワードが記録と一致しない場合は、正しいサインインのためにアドレスとパスワードの再入力を求めるというのだ。
これは、偽のサイトが本物のアマゾンのサイトの間で機能しているためで、入力したユーザー名やパスワードなどの情報は、本物のサイトに送られている。ユーザー名、パスワードなどが異なると、その旨のメッセージをアマゾンから犯人側は受け取る。そしてそのメッセージはさらに、ユーザーに送られ、コンピュータに表示される。
この方法では…
【執筆:バンクーバー新報 西川桂子】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催