鍵マークも偽装できる?
前回のフィッシング詐欺サイトの例では、偽のアドレスバーを重ねることで本物サイトのように見せかける手法を紹介しましたね。
今回も同じような方法でユーザを騙そうとする方法を紹介します。
「https://」からはじまる、SSLで暗号化されたサイトに接続した場合、IEなどのブラウザでは、右下に鍵アイコンが表示されますよね。
この鍵マークもJavaScriptの技術を使って偽装が可能なんです。
以下はJavaScriptで偽の鍵アイコンを表示させるテストページです。
※ 偽のアドレスバーの時と同様、WindowsXP SP2の場合は、スクリプトがブロックされますので、このテストページを見るためにはブラウザの上の部分の、「セキュリティ表示のため〜(中略)〜ここをクリックしてください」を左クリックし、「ブロックされているコンテンツを許可」を選択してください。
そうすると、ブラウザの右下に鍵アイコンが見えると思います。
でも、暗号化されているページだと思って、アドレスバーを見ても「http://www.mecha-security.com」と表示されてます。
暗号化されているページなら「https://www.mecha-security.com」というように、「http」の後に「s」がついているはずです。
IE以外のブラウザや、MACの方は見れないと思いますので、以下に実際の画面を載せておきますね。
(これだと鍵マークがずれてますので、すぐ偽装だとわかりますが^^)
|
こういう偽装にだまされないためには、鍵マークをダブルクリックするようにしてください。
そうすると以下のように証明書が表示されます。
|
ダブルクリックしても何も表示されない場合には偽装されていると思いますので、気をつけましょう。
普段からアドレスバーを見たり、証明書をクリックしたりする習慣を身につけましょうね。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。