googleを名乗ったフィッシングサイトにご注意を！

これまでも、これからもイタチごっこなんでしょうけど、最近もまた有名サイトや銀行サイトなどを装ったフィッシングサイトが横行しているようです。

最近話題になったのは、ヤフーに表示されるリスティング広告の位置に、京都銀行を装う広告が掲載されていたという件で、知名度が日本一であるヤフーを信頼して、騙されてクリックした人は多かったに違いありません。

特に、クレジットカード番号や口座番号を扱う銀行系サイトのフィッシングには注意が必要なため、東京三菱ＵＦＪ銀行のＴＯＰページでは、フィッシング詐欺対策を喚起する文章がデカデカと掲載されています。

その大胆さが逆にスパムっぽいとネット上では突っ込まれていましたが、なんだかレガシーに見えるレイアウトは、さすが阿部寛を起用しているだけある、と思わされます。

フィッシングサイトを見抜く場合、そのサイトがどこからリンクされているか？ではなくて、本当はどこのサイトなのかという、ＵＲＬという文字列情報を確認することが重要です。

逆にスパム業者はできるだけＵＲＬを偽装しようと工作します。

たとえば、有名なスクウェア·エニックスのフィッシングでは、

「http://secure.square-enix.com.uu3300.com/」のように、サブドメインに「secure.square-enix.com」を付加することで誤魔化そうとしました。

twitter.comのフィッシングでは、

v(ブイ)というアルファベットを二つ重ねるとw(ダブリュー)に見えることを利用し「tvviter.com」のようにして誤魔化そうとしました。

また最近では、ログインフォームを作成したり、ログインフォームが組まれたファイルをホストできる、クラウドサービスやストレージサービスにも注意が必要です。

ウイルス対策やスパイウエア対策のソフトウェアを提供するシマンテックは、「Googleのログインフォームを偽装したフィッシングサイトに注意すべき」であることを自身のブログで伝えています。

Googleのサービスである、Google DocsやGoogleドライブを利用すると、グーグル内のサーバーにフィッシングサイトを用意することができます。これらのコンテンツは「*****.google.com」という本物と同じドメインで提供されるため、見分けるのが一層難しくなっているというのです。

最近では特にスマートフォンを利用したネットサービスの利用や、それに伴うログイン行為が当たり前になってきました。

スマホの場合、ブラウザのアドレスを表示するバーの領域が小さいため、URLの確認が大変だったりします。さらにはアプリ経由のブラウザ表示の場合、アドレスすら表示されない場合もあります。

現時点では、それらのフィッシングを救ってくれるのは自分自身の注意しかないので、情報的に重要なものにアクセス場合は、自分の目で確認済みのアドレスをブックマークした上で、ＰＣ経由でのみアクセスするなどいった徹底が必要なのかもしれません。