 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Security > フィッシング詐欺 > IFRAME&PopUpテストページ | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Security > フィッシング詐欺 > IFRAME&PopUpテストページ | |||||
| このページは実際にフィッシング詐欺で使われた方法を理解していただくために作成しています。このページのJavaScriptを実行しても害は一切ありません。また詐欺を助長する目的で作成したものでもありません。フィッシング詐欺を疑似体験していただくことと、その対応策をテストしていただくためのページです。 |
IEやFirefoxなどのブラウザで表示されている内容がどのサーバから送られてきているものなのかを判断することがフィッシング詐欺被害を防ぐために重要なことになります。
表示されているページ(フレーム)でマウスの右ボタンをクリックします
(1) Internet Explorer(IE)の場合
左図はMicrosoft社のInternet Explorer(IE)で出てくるメニューです。このメニューの一番下にある「プロパティ」を選択します。すると下図のようにブラウザに現在表示されているページの内容が表示されます。
ただしIEではユーザー名やパスワードなどの入力項目にマウスカーソルがあるときに右ボタンをクリックしても表示されるメニューの中に「プロパティ」がありません。入力項目以外のところで右ボタンをクリックする必要があります。
またIFRAMEを使ったテストの表示例のようにフレームで分けられているページは、右ボタンをクリックしたときのマウスの位置が示しているフレームの情報を表示します。このためフレームの境界がはっきりしないページでは入力項目の近くにマウスを移動させてクリックしなければ正しいフレームの情報が得られない場合があります。
つまりIEではユーザー名やパスワードなどの入力項目がどのサイトから送られたものなのかを判断することが難しいということになります。
右図は「プロパティ」で表示される内容の例です。中央の「アドレス(URL)」が表示されている内容の本当のアドレスになります。この表示をみることで本物のサイトか、詐欺サイトかを判断します。
金融機関やクレジットカード会社のサイトであればカード会社名.comやカード会社名.co.jpになっているはずなので、ここが「202.232.58.50」のようなIPアドレスだけの表記やxxxxx.netのような見たことも無いURLであれば詐欺サイトの可能性が高くなります。
またカード番号やユーザー名/パスワードを入力するページ(フレーム)では多くがSSLを使っているので右図では「接続:」が「SSL
3.0、RC4 / 128 ビット暗号 (高); RSA / 1024 ビット交換」のようにSSLの128ビット暗号を使っているというような表示が出てきます。もし暗号化されていないページ(フレーム)に入力項目があれば詐欺サイトの可能性があります。
(2) Mozilla Firefoxの場合
FirefoxでもIEと同様にマウスの右ボタンをクリックしたときに表示されるメニューの「ページの情報を表示」を選択します。
フレームで分割してあるページでは入力項目にマウスカーソルがある場合でもマウスカーソルがあるフレームの情報が表示可能です。
その際には表示されるメニューに「このフレーム」が追加され、サブメニューにある「フレームの情報を表示」を選択します。
このようにFirefoxでは情報をページ全体の表示をまとめて表示することも、フレーム単位で表示することも可能になっています。
Microsoft社のInternet Explorerでは下記のようなフレームを使って複数のサイトから情報を表示するページの情報を一度に見ることが出来ません。
しかしFirefoxではフォーム(入力項目)ごとのURLやリンクをページ情報表示で一覧表示することが出来ます(フレームごとの表示も可能です)。
左図はフィッシング詐欺の(例4) SunTrust銀行を名乗る3の紹介したぺサイトの例です。sign_onとSignOffの2つの入力項目があることがわかります。さらに重要なことはsign_onの入力フォームとSignOffの入力フォームのURLが異なり、sign_onの入力先が210.127.248.88というSuntrust.comではない(つまり詐欺サイトに接続している)ということです。
このように入力項目やボタンのリンクが一覧で表示できるのでフィッシング詐欺の対策としてFirefoxを使用されることを強くお勧めします。
Microsoft社が発表しているIEのURLの成りすまし(Spoofing)対策については「成りすました Web サイトおよび悪質なハイパーリンクを見分けるための手順」を一度は参照しておいてください。また「 Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するセキュリティ更新プログラムの使用について」も参考のために見ておくといいでしょう
IFRAMEを使ったサンプルページです。1つのページ内に異なるサイトの情報を表示しています。
下に見える「Google」と「Yahoo」があたかもこのサイトの内容のように見えますが、実際はフレーム内にGoogleとYahooのサイトを表示しているだけです。
上記で示した表示内容の送り元となるサーバの情報表示を実際に試してみましょう。「この文字部分」のアドレスは「http://eazyfox.homelinux.org〜」ですが、下のGoogleフレームのアドレスは「http://www.google.com」、Yahooフレームは「http://www.yahoo.co.jp」になっていることが確かめてください。
ここでは判りやすいようにGoogleのフレームに枠をつけていますが、実際の詐欺サイトではYahooのフレームのように枠はありません。IEではマウスカーソルを入力項目の近くに移動させてフレームの情報を表示して確かめるしか方法はありません。
GoogleとYahooのサイトは本物なので検索も出来ます(本物ですから当然ですね)。このように詐欺サイトの一部に本物のサイトを表示することで信用させるのが手口です。
MAPタグがどういうモノなのかを体験してみましょう。左図には画像全体に「www.google.com」へのリンクが設定してあります。マウスを画像の上に持っていくとステータスバーにリンク先として「http://www.google.com」が表示されます。しかし下線のURL部分には「www.yahoo.co.jp」へのLinkがMAPタグで設定してあるため、URL部をクリックするとYahooが表示されます。
たいした仕掛けではありませんが
となっているため、最初の2つのリンク先設定を確認しただけでは騙されてしまうという事になります。またyahooのように短いURLならすぐに判るかもしれませんが、例1のように"%31%39%35%2E%31〜〜"と判り難い表記方法なら、判断が難しくなります。実際にはこのような簡単な仕組みほどだまされやすいのかもしれません。
JavaScriptのWindow.Open命令を使って「yahoo.co.jp」を表示します。アドレスバーやステータスバーは表示しないように設定しているので、PopUpで表示されたページにマウスを移動してページ情報を確認しないと表示されているサイトの送り元のサーバが確認できません。
(注意) JavaScriptを使用しているので、「スクリプトを無効にする」設定ではPopUpは表示されません。WindowsXP-SP2でPopUpを規制されていると表示されません。またFirefoxなどでPopUpの表示指定方法を変えている場合もPopUpにならないケースがあります
PopUpではアドレスやステータス表示が無いWindowを簡単に表示できます。本物のカード会社のサイトの上に「認証入力フォーム」を表示させて騙すのが詐欺の手口です。
ブラウザのセキュリティ設定により大きなSSL(yahoo.com)の画面の後ろに小さな通常(yahoo.co.jp)が表示される場合があります。(本当はSSLのユーザー名/パスワードのところに小さな画面を被せたかったのです)
この手口では詐欺サイトのPopUpにはステータスバーが表示されていませんが、SSLのYahoo.comは本物なので鍵マークが表示されます。認証情報もYahoo.comのものです。「鍵マーク」が重要なのではなく、情報を入力する項目があるPopUpやフレームのアドレスを確認しなければならないことを示しています。
次はブラウザのアドレスバーにテキストを被せて偽のアドレスを表示するもの。表示位置は偽装するのならアドレスバーの真上ですが、ここでは判りやすいように青で囲んで適当な位置に表示しています。
表示する位置はブラウザの表示領域のさらに上にあるアドレスが表示されている位置に合うように設定しなければ隠せないので、IEなど使用者が多いブラウザがターゲットとなります。アドレスバーの位置などを変更したり、IE以外のブラウザを使用すれば変な位置に表示されるのですぐに偽装が判ります。
同様にSSLの鍵アイコンもブラウザの下段に表示することも可能ということになります。SSLの鍵マークの偽装を見破るにはステータスバーの表示をOn/Offしてみるといいでしょう。
(注) Firefoxはこの表示する命令が使えないようなので、アドレスバーやSSL鍵マークの偽装は使えそうにありません。
フィッシング詐欺の(例2)で紹介したGoogleのリダイレクト機能を確認しておきましょう。このリンク先を見るとGoogleへパラメータを渡しているようにしか見えません(実際にURLを渡しているだけです)。しかし最終的に表示される内容はyahooになります。
[Googleからのお知らせ] あなたにGoogleから素敵なプレゼントを用意しました。詳細はここをクリック
一部Spam業者でも使っているGoogleのリダイレクト機能を悪用したものです。リダイレクト先の指定を行うには「http://www.google.com/url?q=リンクしたいURL」とGoogleにURLを渡すだけで可能になります。
一部のサイトではこのようなリダイレクト機能を持っているところがあります。2004/12には"usa.visa.com"が持っていた同様のリダイレクト機能が詐欺師に使われました。
リンク先のURLだけで判断することは危険だということです。表示されているページの情報を必ず確認することを忘れないようにしましょう。