読者です 読者をやめる 読者になる 読者になる

ゆきばた

ゆきばたの果てしない戯言

フィッシングとは?詐欺の手口と被害と対策

WEBの仕組みを簡単に

 

ハッキングシリーズです。

フィッシングサイトやフィッシング詐欺という

フレーズを聞いたことがある方もいると思います。

 

f:id:yukibata:20160604200726j:plain

 

フィッシング詐欺は、誰でもかかりうる問題です。

しかし、フィッシングについての知識があれば、

被害に逢う確率を下げることができます。

 

この記事は、そんなフィッシングについて

どうしたら被害に逢ってしまうのか

引っかかったらどうなってしまうのか

を中心に最低限覚えておきましょうという記事です。

 

フィッシングとは?

 

インターネットを駆使し、ワナを張ることで

引っかかった人の秘密情報を取得することが

できる詐欺のことです。

fishing(魚釣り)から来る造語です。

 

魚釣りのように、エサを用意してひたすら待ち

獲物がかかったら情報を強奪するという

有名なハッキング行為のひとつです。

 

取得できる情報は様々です

 ・IDやPassword

 ・SNSの認証情報

 ・クレジットカード

 ・銀行の口座番号

 ・住所、氏名

など、ほぼ全ての情報を奪われる可能性があります。

 

だからこそ、常に頭の片隅でフィッシング詐欺

というフレーズを持ちつつインターネットを

利用するべきなのです。

 

f:id:yukibata:20160604200930j:plain

 

フィッシング詐欺の流れ

 

ここでは、フィッシングの手口を

汎用的に紹介していきます。

 

まずWEBの世界では、

フィッシング行為を行う人を「攻撃者」と呼びます。

他のサイトでもフィッシングについて調べるときに

「攻撃者」と書いてるケースが多いので、

この表現に慣れておきましょう。

 

さて、フィッシングの流れです。

 

  1. 攻撃者が偽のサイトを用意する
  2. 不特定多数の人をこのサイトに誘導させる
  3. 誘導させた人にアクションを起こさせる

 

この3段階で、フィッシングは成り立ちます。

 

これらのフィッシング行為は大変そうに見えますが

プログラムを書ける人にとっては、

それほど大変な作業ではありません。

 

f:id:yukibata:20160604201140j:plain

 

じゃあ、みんなフィッシング詐欺できちゃうじゃん

と思いますよね。答えはYESです。

 

しかし、出来ますがやりません。犯罪ですから。

みなさんも万引きのやり方は知ってますよね。

でも、しませんよね。それと同じです。

 

ただ、ハッカーってカッコイイなんて思って

「俺こそは逃げ切れる!」とか思い上がってしまう

攻撃者がいるのは事実です。気をつけましょう。

 

このようにしてフィッシングは成功する

 

では、具体的にやりかたを見ていきましょう。

 

まず、フィッシング用のサイトを用意します。

こんな画面です。

 

f:id:yukibata:20160604204745j:plain

 

はい、ご存知 Facebookです。(あくまで一例です)

ただ、これは本物の Facebook ではありません。

Facebook によく似たサイトをデザインしただけです。

目に見えない部分はドス黒い世界です。

 

このサイトを準備しただけでは、

誰も来てくれません。

この時点では、針と糸を垂らしただけです。

 

そして、攻撃者は、不特定多数のメールアドレスに

こんな内容のメールを送信します。

 

「【芸能ニュース】xxxがxxxxと西麻布で熱愛デート!」

 

メールでなくてもよいです。

不特定多数の掲示板に貼り付けるパターンもあります。

すると、興味を持った人がこのリンクを開きます。

 

そこでころログイン画面があり、

以下のようなメッセージあったらどうでしょう。

 

「この記事は Facebook 経由で配信されています。

Facebookアカウントをお持ちの方はコチラからログイン」

 

で、さっきの画面に飛ぶのです。

続きが見たいと思ったアナタは、

Facebook のIDとPasswordを入力します。

 

はい、アウトです。

この入力内容が、攻撃者のところに届きます。

本家のFacebookのところには届きません。

攻撃者は、アナタが入力したIDとPasswordで

Facebookにログインし、乗っ取りが完了です。

 

これだけではありません。より巧妙な攻撃者は、

IDとPasswordが盗まれたことがアナタに

気づかれないようにします。

 

つまり、偽のログイン画面でIDとPasswordを

入力したら、本物の Facebook サイトへ飛ばしたり

似たような記事のサイトに飛ばすのです。

あたかもログインが成功したような動きを再現します。

 

その理由は

「IDとPasswordが乗っ取られた!」と思ったら

アナタはどうしますか?

Passwordを変更しますよね。

もし、乗っ取られたことに気づかなかったり

気づくのが遅かったりれば

 

それは犯人にとって

別の悪巧みをする最高の時間稼ぎになります。

 

IDとPasswordを盗んでどうするの?

 

たくさんの人が、

IDとPasswordを使いまわしていると思います。

もし、TwitterのIDとPasswordが同じなら・・・

もし、AmazonでのIDとPasswordが同じなら・・・

もし、ネットバンキングのIDとPasswor・・・

 

f:id:yukibata:20160604201509j:plain

 

被害は限りなく拡大します。

他にも、攻撃者が勝手に Facebook のPasswordを

変更したらどうでしょう。

アナタ本人がログインできなくなります。

攻撃者は、そのアカウントを別の人に

売ることも出来てしまいます。

 

このようにエサとなる入り口を用意しておいて

訪問者が現れるのを待つ手法をフィッシング

またはフィッシング詐欺といいます。

 

他にも銀行からの連絡を装って

「パスワードの有効期限が切れました。

サイトにアクセスし、再設定してください。」

というメールを送りつけるというパターンも

数多くあるようです。

 

怪しいサイトには情報を入力しない

 

これが被害に逢う可能性を下げる一番の方法です。

では、怪しいサイトの見分け方はどんなものか。

いくつか紹介します。

 

#1. 送り元のメールアドレスを確認する

 

これはメールの場合です。

送り元(差出人)のアドレスがを確認しましょう。

 

from : xxxxxxx@hatenabank.jp が正しいアドレスの場合

from : xxxxxxx@hatenabank.jp.com のように

一見すると、おかしなアドレスになっています。

 

#2. サイトのURLを確認する

 

アクセスしたときのURLを確認しましょう。

 

http://www.amazon.co.jp が正しいURLの場合

http://www.amazon.com.jp

http://www.amazen.co.jp のように

似せたURLを用意している場合があります。

 

#3. ウイルスソフトの警告を無視しない

 

最近のブラウザやウイルスソフトは賢くなって

とても信頼できるものになっています。

もし、ブラウザが警告を出してきたら、

そもそもアクセスしないということを心がけましょう。

 

f:id:yukibata:20160604202025j:plain

 

「いつもと違うな」とか「怪しいな」と感じたら

アクセスしたり、情報を入力したりすることは

極力避けましょう。

 

なぜならば、正しいサイトの作り手は

そういった使う側の人が不安に思うようなサイトに

ならないよう常にメンテナンスをしています。

 

一方で、攻撃者のような人たちが

いざ、フィッシングサイトを作ろうとしても

本家サイトの完全コピーは今の仕組み上、出来ません。

 

だからこそ、

可能な限り似せたサイトを作ったり

ちょっと違ったアクセス方法で私たちを混乱させたり

してきます。

 

「!?」と思ったらやめましょう。

人間の直感は当たります。みなさんの直感も然りです。

 

f:id:yukibata:20160604202253j:plain

 

そして、もしそのようなサイトに引っかかってしまったら

即座に、全てのサービスのパスワードを変更しましょう。

 

ひとつのIDとPasswordが分かったら

攻撃者はありとあらゆるサイトでログインを試みます。

 

インターネットを利用する際

これらの内容が、みなさんの意識の片隅にあることを

願っています。

 

 

おわり

 

 

[ImageFrom]
http://www.business2community.com/facebook/new-facebook-phishing-scam-protect-01150750
https://digitalguardian.com/blog/phishing-attack-prevention-how-identify-avoid-phishing-scams
https://www.redhawksecurity.com/Phishing-Awareness.htm?m=7%26s=57%26id=61
http://www.pcmag.com/article2/0,2817,2419925,00.asp
http://www.123rf.com/stock-photo/phishing.html
http://www.e-netbank.net/safety/netbanking-login-kakunin/
http://www.123rf.com/stock-photo/suspicion_thinking.html