URLパディングを悪用したフィッシングに注意

2017年6月27日

ニュースソース:The PhishLabs Blog

以下は2017年6月15日に公開されたThe Mobile Phishing Threat You’ll See Very Soon: URL Paddingを要約したものです。


PhishLabs(米国)は、URLパディングを悪用したフィッシングに対する注意を呼びかけています。
URLパディングは、本物らしく見えるURLに偽装サイトのドメインを含み、偽ドメインをハイフンで埋めて隠そうとするフィッシング手法です。スマートフォンなどのモバイルデバイス上のブラウザではURL全体は表示されないため、本物のサイトにアクセスしているかのように見えます。
FacebookのURLを偽装したケースが最も多いですが、Apple、Comcast、Craigslist、OfferUpなどもターゲットにされています。

例:
以下のURLはm.facebook.com(Facebookモバイルの本物のパス)から始まりますが、実際のドメインはrickytaylk.comです。
偽装サイトはFacebookのファビコンまで表示するなど、本物サイトと非常に似たインターフェースに作られています。

hxxp://m.facebook.com—————-validate-step1.rickytaylk [dot] com / sign_in.html

URLパディングは、偽装のログイン画面に誘導してフィッシングを行うことを狙いとしています。PhishLabsが指摘する危険性は2つあります。
第一に、多くの人は同じログイン情報(メールアドレスとパスワードの組)を複数のサイトで使い回しているため、パスワードの再利用により、不正アクセス・不正ログインに悪用されるおそれがあります。
第二に、攻撃者は被害者のFacebookの個人アカウントから、プライベートメッセージなどを通して二次的なフィッシングを行うおそれがあります。またURLパディングは、電子メールよりもSMSやSNSのメッセージを介して配信される可能性が高いと予測されています。

対策

通常、Facebookなどのサイトからログイン用URLが送られることはまず考えられません。しかし、多くの人はモバイルデバイスでは警戒心が低くなる傾向があります。ログイン情報を安易に入力しないよう注意が必要です。
悪意あるWebサイトへアクセスする前に、それが悪意あるWebサイトであるかを確認する最も効果的な方法の1つは、電子メールのリンクにマウスをホバーさせてリンク先URLを表示することです。しかし、モバイルデバイス上のSMSメッセージではこの確認方法は不可能です。