JavaScript++かも日記

Phisingと呼ばれるクレジット詐欺

【セキュリティ 】 ブックマーク-- Hatena  / Livedoor

古籏さんのページ経由で神田さんのページを
のぞいていたらFishing ではなくPhisingと呼ばれるクレジット詐欺という記事がありました。

ようは、「既存の有名サイトに偽装したメールやウェブサイトを使ってユーザを誘い込み、クレジットカードなどの金融情報を騙し取るというもの」なのだそうで、

　＞米国では、eBayやPaypalなどを偽るSPAMメールが5,700万人に送られ、
　＞「フィッシング詐欺（Phishing）」と呼ばれる被害で180 万人がクレジット
　＞カードナンバーを盗まれるという事態を招いた。年間12億ドル相当の被害だ。

いよいよ、始まったか、、、という感じですね。
日本のセキュリティも伝統的に？「アマアマ」なのでこれから結構被害が出そうな気もします。

で、対策として「フィッシング・サイトを作りにくくしておくことが重要」ということで

　＞「ポップアップ・ウインドウを使わない」
　＞「アドレス・バーを隠さない」
　＞「フレームを使わない」

があがっています。ま、他にもいろいろありますが、とりあえずこれらはどんな風に危険で、この対策はどういう理由で安全なのか？どの程度安全なのか？などをみてみたいと思います。

てことで、

１ ： 「アドレス・バーを隠すとどうなる？」を確認します。

　　　最も普及しているウエブサーバーApacheは、たとえば、
　　　http://daredemo.jp/prox1/にアクセスするとdaredemo.jpを
　　　見に行かずにhttp://jsgt.org/mt/01/へProxy接続した結果を
　　　例 1のように返すことが簡単にできます。
　　　(　あるいは、閲覧者にうむを言わす間もなく適当なサイトへ勝手に
　　　　　飛ばしてしまうことも簡単です。　）

　　　　　例 1: http://daredemo.jp/prox1/

　　　 また、Linuxのシェルコマンドやperl、php、ASP、Javaなどでも
　　　他人のサーバーのHTMLをリアルタイムに取り込んで、まるで自分
　　　のコンテンツのようにちょっと加工して出力する（例 2）ことが
　　　簡単にできます。

　　　　　例 2: http://game.gr.jp/test3/uso.cgi

　　　また、ご存知のようにHTMLレベルでもFrameを使えば他人の
　　　サイトを自分のサイトであるかのように読み込むことも簡単です。

　　　つまり、WWWページは簡単に偽装できるのです。

　　　このとき、JavaScriptはFrameを越えてアクセスできない分まだ
　　　まし(なわけない^^？)なのですが、２番目のサーバー側に仕掛
　　　けられて気づかないと、

　　　　　　　パスワードも何もかも盗まれまくり

　　　と、なります。　

　　　でも、これらを見破るのは簡単です。
　　　「アドレス・バーを見ればアドレスが違うことがわかる」からです(笑;。

　　　ゆえに、

　　　　　　　＞「アドレス・バーを隠さない」

　　　という知恵が生きるわけです。

#でも、アドレスバーを偽装できるWinIEのバグにはお手上げですが(^^;;
#のこりの２つはまた今度。
#あと、ウイルスメールで周知のとおりメールのアドレスはwww以上に簡単に偽装できますから信用してはいけません。

　　根本的な問題は、今はもしかすると
　　クレジットカードなどのネット決済システムの方にあるのかもしれないです、、、

　　つぎはこれを考えようっと、、、

素人がやってはいけないセキュリティの「大発明」

イーバンク銀行が導入したキーワード確認機能はフィッシング詐欺防止にならない

---

---

【コメント】(←clickで入力欄open)