世界のセキュリティベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回は、フィッシングの手口に関するブログから。フィッシングは今やそこら中で横行し、毎日何百万通というフィッシングメールが行き交っている。ユーザーの重要情報を盗もうとするフィッシングの3大手口「Webメール詐欺」「iTunes詐欺」「Gmail詐欺」について、米マカフィーがまとめている。
Webメール詐欺は、米マイクロソフトの「Outlook」サービスの管理者またはヘルプデスクから送られてきたように偽装した1通の電子メールから始まる。その電子メールは、アカウントの有効性を確認するか、アカウントをアップデートするよう求める。メッセージ内のリンクをクリックすると、偽のログインページに誘導される。偽ページは一般的に、無料サービスを使って構築されたサイト内に設置されている。詐欺者はこれら偽ページを通じてユーザー名とパスワードなどを収集し、不正利用する。
Webメール詐欺のサンプル
iTunes詐欺は、米アップルの直営店からのメッセージを装った電子メールが最初の接触となる。電子メールは、ユーザーのアカウントが乗っ取られた可能性があると告げ、リンク先に移動してアカウントを再設定するための情報を入力するよう促す。リンクをクリックしたユーザーは、本物のアップルのログインページにそっくり似た偽サイトに誘導される。攻撃者は「apple.com」の文字列をリンクのURLに使うことが多い。例えば「hxxp://itunes.id.apple.com.example.com/」のようにして、正規のアップルのページに見せかける。
iTunes詐欺のサンプル
Gmail詐欺は格段に最も手の込んだフィッシング手口で、「Google Docs」上の重要な書類に目を通すよう促す電子メールで始まる。メッセージ内のリンクをクリックすると、偽のGoogle Docsログインページに誘導される。最近確認された攻撃者は、「Google Drive」の公開フォルダーを利用して偽のGoogle Docsログインページをアップロードし、Google Driveのプレビュー機能によって誰もがアクセス可能なURLを取得して、それをメッセージ内のリンクに使った。Google Docsのリンクにアクセスした際にログインページに誘導されるのは珍しいことではないので、多くの人々が騙される可能性がある。
Gmail詐欺のサンプル