新しい恐るべきフィッシング手法がセキュリティ研究者によって発見されました。これには、本物の Facebook OAuth ログイン ウィンドウとあらゆる点で同一のページ上に偽のログイン ポップアップが生成されます。証明書、アドレスバーの住所、デザイン…すべてが 100% 本物のように見えるため、最も経験豊富なユーザーでさえ誤解を招く可能性があります。欺瞞を見分ける唯一の方法は、偽のポップアップをページからドラッグしてみることです...
フィッシング攻撃は通常、簡単に阻止できます。特に、私たちと同じように、パスワードを入力する前にいくつかの重要な点を体系的にチェックしている場合は、アドレス バーの正確な URL、同形異義語 (スペルがほぼ同じドメイン名、たとえば facebook の代わりに faebook.com など) の存在が挙げられます。 .com)、HTTPS の使用、証明書の有効性、さらにはフォームのデザイン。多くの場合、ウイルス対策スイートがインストールされている場合、拡張機能によって自動チェックが実行されるという追加の特典が提供されます。
こちらもお読みください:Google 翻訳 – サービスを乗っ取るフィッシング攻撃に注意してください!
研究者は、熟練したユーザーにとってもフィッシング攻撃が信憑性があることを発見
ここで、URL が正しく、HTTPS を使用し、有効な証明書があり、実際のログイン フォームと同一のデザインがあり、アンチウイルスによるフィッシング攻撃の検出が無視されるフィッシング攻撃を想像してみてください。これはまさに、セキュリティ研究者であり、パスワード マネージャー Myki の発行元の共同創設者兼 CEO である Antoine Vincent Jebara 氏が発見したものです。 The Hacker Newsが引用した関係者によると、「最も用心深いユーザーでも騙される可能性があります。」
Facebook は、Google や Microsoft と同様に、統合ログイン サービスを提供しています。訪問者により便利な接続方法を提供するために多くのサイトが実装しています。彼は、訪問者にシステムを提供する悪意のあるサイトを発見したと述べていますOAuthフェイスブックから。少なくとも、HTML と JavaScript を少し使用することで、非常に現実的に見えるようになります。原理は単純です。Facebook のように実際のポップアップを表示するのではなく、ページ上に浮かぶポップアップをシミュレートします。
こちらもお読みください:フィッシング – 銀行は過失がある場合には被害者に返金しない
したがって、ウィンドウはもはやコンテナではなく、ユーザーがある程度移動できるグラフィック要素となり、信頼性の印象を強化します。もちろん、住所、緑色の南京錠、フォーム...これらはすべて偽物であり、ユーザーに最大限の信頼を与えるように設計されています。ただし、ウイルス対策の最も優れた点は、ログイン ウィンドウが開かないことです。したがって、フィッシング検出は沈黙したままとなり、リスクが増大します。
自分自身を守るにはどうすればよいでしょうか?
Antoine Vincent Jebara 氏によると、完全に悪意のあるサイトに加えて、このログイン ページが正規のサイトに到達することもあるとのことです。サイバー犯罪者「爆発的な記事を読んだり、商品を割引価格で購入したりするには、まず『Facebook アカウントに接続』する必要があるブログやサービスへのリンクを配布すること」。このタイプの攻撃を阻止する効果的な方法は 1 つだけです。ログイン ウィンドウをウィンドウの外にドラッグしてみることです。失敗したら罠だ。
Antoine Vincent Jebara 氏が提案したもう 1 つの方法は、彼が書籍を発行する会社の CEO であることを考えると、おそらく驚くことではないでしょうが、パスワード マネージャーを使用することです。記事の最後にあるこの攻撃を説明するビデオで、彼は次のように説明しています。「ほとんどのパスワード マネージャーは、ウィンドウ アドレスをチェックしてどのパスワードを事前に入力する必要があるかを決定するため、この種のフィッシング攻撃に影響されません。」。
同じテーマについて:フィッシング – この Google テストでは、トラップを識別する能力が明らかになります
そしてあなたも、罠にはまってしまったでしょうか?コメントであなたの意見を共有してください。
![[ROMカスタム][Android 5.1.1] ★ATRIUM v1.0★](https://yumie.trade/statics/image/placeholder.png)
