|雑日記&ブログ|雑Review|

雑日記&ブログ

ツイート

2006-01-19

Web フィッシングサイトの見分けにこれは使える?

にしし氏のブログエントリ「フィッシング詐欺と誤解されないようにするには」にコメントを書いていて思ったこと。

フィッシングサイトの見分け方は色々あるんですが、その中でふと思いついたんですよ。

フィッシングサイトって、
1.ユーザーIDやパスワードを盗む
2.クレジット情報を盗む
という順番だと思うのですよ。
で。
ニセサイトなら、ユーザーIDとパスワードは何を入力してもログインできるようにしている可能性が高いわけで。
「全然関係ないIDとパスワードでログインできるんじゃ?」ということ。
で、関係ないIDとパスワード(でたらめ)を入力してログインできたらフィッシングと思っていいかも。
もちろん、その会社のDB等でID、パスワードが盗まれてたら駄目なんですけどね。
ってかDBとIDが盗まれてたら、サイト作らん?
直接ログインするもんな・・・

ちなみに、クレジット情報だけ打ち込むというのは無いと思うんですよね。
「あなたの個人情報が漏洩した可能性があります。確認のためにはクレジット番号を入力してください」って?
いや、普通、企業から「漏洩しました」という内容と謝罪がくるでしょう。
「どのデータが漏洩したか確認」してから漏洩した人宛にメール・・・でしょうし。
確認出来るサイトって、おかしい気がする。

あと、新規でID作る場合。
こっちも同じ方法が使えると思う。
でも、新規ID作成の場合は、「きちんとドメインのトップページから辿りましょう」というところから始めましょう。

とりあえず、この方法も使えるか?という内容ですが、実際には証明書などの見分け方をきちんと行う必要があります。
それをやってしまえば、この内容、やらないでもいいんですけどね・・・
posted at 17:23:00 on 2006-01-19 by 宣伝中止! - Category: [Web]
ツイート

トラックバック

トラックバック
このエントリにトラックバックはありません
このトラックバックURLを使ってこの記事にトラックバックを送ることができます。 もしあなたのブログがトラックバック送信に対応していない場合にはこちらのフォームからトラックバックを送信することができます。.

コメント

george wrote:

>「全然関係ないIDとパスワードでログインできるんじゃ?」ということ。
うーん。私がフィッシングサイトの設計をするならば、「絶対ログインできない」サイトを作ります。
理由は、「ログインに失敗しました。再度ユーザID、パスワードを確認してログインをやり直して下さい」の様に表示すれば、2,3回はログイン再試行してくれます罠。
まぁ、そのうちおかしいと思ってオフィシャルの問合せ先に照会するとヤラレタ!ってなるわけですが。
#情報をもらうだけもらえれば、「毎度あり~。君の財産は頂いた(^^)/」
と表示してもユーザID、パスワードを盗む目的は達成できると思います。

また、ログイン後の挙動を再現するとなるとかなりの手間になりますからね。私なら「絶対ログインできない」に一票と云うことで。
2006-01-20 12:22:48

sendenchuushi wrote:

フィッシングで欲しいのは、銀行やクレジットの番号じゃないかな?と思うんですよ。
で、IDとパスを貰って、そこにカード番号があるかどうか・・・

自分だったら、ログインしてもらい、その後、クレジット番号や銀行の番号、決済用のパス、という感じで貰うことを考えるから、このほうがいいかな?と思ったのですが。
確かに、ログインできないように作るというのも考えられますね・・・
2006-01-20 13:52:18

コメントの追加

ランダム ピックアップ

[jubeat jubeatしに上大岡へふたたび]
[PC Linux Samba サーバ構築(Debian amd64インストール16)]
[Other TRAIN SUITE 四季島]
[PC 接続がわからん]
[Other 新幹線と飛行機の比較]
[社会ニュース 九重親方(元横綱千代の富士)の訃報]
[ゲーム 艦隊これくしょん 資源カンスト!]