オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

紛らわしいドメイン+スマホだと獲物は捕らえやすいらしい(犯罪トレンド

»

最近スマホの文字が見えにくくなってきました。メガネもサポートレンズっていう遠近入門のようなものを使っていますが、そんなに酷使してないのに疲れやすくなってきました。そう、見えにくいのですw

スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中

こんなニュースを目にしました。弱点に数倍の効果をもたらす…悪意な組合せですが、イコール犯罪者には効率いい方法となるようです。

そもそもドメイン確認してますか?

今さらですが、ドメイン確認してますか? 電車に乗るときだって行き先の確認しますよね? トイレだって逆に入ってしまうと大変です。しかしドメインは確認しない? あまりしない? ほとんどしない?…

とりあえず行き先になるので、チェックする習慣をつけるしかないです。って以上!簡単な話です。

短縮URLなどは、確認するサービスがあります。PCならばコピーして確認することもありますが、毎回は面倒です。以前はよく利用しましたが、最近はアヤシイものしか確認してません。面倒だと段々とやらなくなるもの(セキュリティ的にはよろしくない、ダメです(自爆)

ドメインは確認したけど

敵にしてみれば、どれだけ効率よく引っかかってくれるか?だけです。そもそも本物のドメインは使えないわけで、我々は本物と勝手に思い込んでいる訳で…この隙間に入り込んでグリグリしてくるのです。

Leet - Wikipediaハッカー文字とも言われるものを使ったり、ちょっと文字足したりと、本物らしい見せ方等それなりに努力はしているようです。Aが4、WがVV、Lの小文字が数字の1、オーとゼロ、Sと数字5などなど、前後のイメージから勝手に想像して、きっとそうだろう、と思い込むからそうなるのです。そりゃ思い込みますよ。文字小さいし、紛らわしいし。そこが狙いどころなのでしょうね。なので、コピペして検索しましょう。アヤシイものならばヒットしますし、勘違いに気づくかもしれません。

Leet文字より、さらにマニアックなものならこちらなど参考にどうぞ。

あやしいドメインではなく、問題ない本物ドメインだったけど

これ表示されている文字や、リンク先も全部本物! でも飛ぶと全然違ったり、多少似ていても違うというフィッシングサイトなんかのあるある手口です。しっかり見ても解りにくい。。。ように作られているので判断も難しい。アヤシイサイトに飛んでしまったら…例えばエロサイトなんかだと如何にも個人情報抜きましたのような画面が出て来ます。こんなの(Googleイメージ検索結果)です。

ちょっとの恥ずかしさと、数万の請求など、つい連絡してしまいがちですが、そのアクションこそが自身で個人情報を相手に提供している。急にそんな画面が出てくる(そう狙っている)と、冷静な判断なく勢いで動いてしまうものです。

ここはじっくりと構えて状況分析しましょう! 表示されているもの、アドレスなど、固有っぽいもの(一般的なワードだと特定し難い)を検索して確認することです。アヤシイものならば、多くヒットするものです。

で、結局対策は?

1.短縮URLの確認サービスを使う

2.読めないor紛らわしいものは、コピペして検索する

3.冷静に状況分析して、検索しまくる

くらいですが、ちょっとの手間だけで、余計なことを回避出来る! さらに、スマートフォンだと、短縮URL、コピペして検索など使いにくかったりするので、より引っ掛かりやすいのでしょうね。

弱点をつけ込むのが敵の手口ならば、それにつけ込まれない防御策を持つしかありません。

Comment(0)