ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

スポンサードリンク

これはひっかかった・・・

先日、WEBセキュリティの会社に勤める友人と会った。
私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの？何に気をつけたらいい？と聞いてみたんです。

彼の話は面白い話でいっぱいだった。

例えばYouTubeの上のような画像。
この中心の再生ボタンを押すと、ウィルスのダウンロードが始まるプログラムも見せてもらったが、これはかなり引っかかる･･･。

もう一つ、私がひっかかりそうなものとして『Ｂボタンフィッシング』を教えてくれた。

Ｂボタンフィッシングとは何？

記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン（Ｂボタン）を設置しているブログを最近良く見かける。
何気なく私はそれを利用したりしている。

↑これのこと

彼がサンプルとして作ってくれた物を試してみた。

Ｂボタンをクリックすると次の画面が出てくる。
はてなログイン

『あれ？セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
すると次の画面へ飛ぶ。

ここで、ブックマークの追加を押すと、実際にきちんとブックマークが出来るところがまた恐ろしい。

見事な流れにフィッシングに気づかなかった

よくよくはてなの画面を見るとURLが全然違う画面が一つだけある。
それはログイン画面だ。

ログイン画面に入力した内容を、サーバーにあるテキストファイルに書き込むプログラムが仕込まれている。

ホスト名、IPアドレス、ブックマークした時間。
サーバーには、このログインＩＤとＰＡＳＳを保存するログファイルがあり、ここに書き込まれる。

そのあとの仕組みもいやらしい

はてなブックマークする画面というのは次のアドレスだ。

http://b.hatena.ne.jp/entry/http://ここにブックマークする記事のURL

これでブックマーク直前の画面にいく。

だから偽ログインが終わったあと、上のアドレスのブックマークURLにジャンプすると、きちんとはてなでブックマークが出来るのです。

ちょっとややこしい話になるかもしれないけど

簡単にばれないような細工もある。

例えば、偽アドレス
http://nisemono90.com/89.html
という記事をブックマークしようと、偽ブックマークボタンを押すと、偽ログイン画面が出て、入力を求められる。
ログインして本物のはてなページへ飛ぶと、次のアドレスをブックマークしようとしている。
http://nisemono90.com/demo.html

つまり、はてなに登録するURLは、正常なフィッシングの仕掛けのない記事を使い、フィッシングするページはブックマークされないようにするシステムだ。

一応、ネタ用に作ってくれたものなので、このシステムは既に削除されていることをあらかじめご了承ください。

これはもしかしたら私も引っかかるかもしれないなと感じ、悪用厳禁で、自己防衛のために覚えておいていただければなと。

あとがきつけたし
朝方書いた記事で時間がなかったため、ブックマークIDを使うとどんなことをされるのかも聞いていたのですが書ききれませんでした。
続きは2007年4月6日中にアップいたしますので、どうかご勘弁くださいますようおねがいします。

さらにつけたし
続きをアップしました

新ブログ：ITクオリティもよろしく。
スポンサードリンク

はてなブクマ

私の他のブログの更新状況

RSS表示パーツ

» Photoshopちょいテク『惑星を作ってみよう』＋360度パノラマ画像も作れるように
» 最近、ブログを書いている途中に筆が止まる理由がわかった気がする
» ブログエントリ別に見る『注目度10の法則』
» 天才という言葉は、生きている人にいう言葉じゃない気がする
» まるでphotoshop！JavaScriptで実装するクールなカラーピッカー[prototype.js]
» 今後の期待度が高いphotoshopブラシまとめサイト『Quality Brushes for Photoshop』
» FLASHサイト作成インスピレーションの参考になるflashサイト7つ
» あの時、何気なく吸い始めた一本のタバコの値段が900万だと知ったとき
» jQueryサンプル公開後の反省会。みなさんからのアドバイスを5本サンプル化
» [追記]数百件先の画像まで一気に検索してしまうインターフェイスを搭載したfirefoxアドオン
» プロとアマの違いってぶっちゃけたったひとつ
» 一晩で覚えるjQueryの逆引き基礎サンプル7つ
» あなたは大丈夫？知らず知らずのうちに感じている10のパソコンストレス
» よごれた感じのフォトショップチュートリアルとブラシ
» 第2回web開発者インタビュー。マチウケメール便開発者『開発環境はeclipseです！』

｜ホームページを作る人のネタ帳トップへ｜

Comment

はじめまして、有意義な情報でした。

YouTubeのサムネイルからはワンクリサイトに誘導する手口も多いですね。
トロイは最悪ですが、一応、サムネイル上にポインターあわせれば、本物は三角マークが変化しますから、見抜けるかと・・・フラッシュとか使って三角マーク変えれば完璧にやられそうですが・・・まだそこまで手の込んだのは見ていません。

Ｂボタンフィッシングは、ココ見なかったら引っかかったかも。ノーマークでした。

サイト運営してますが、こういう悪質なサイトほどスパムや普通のサイトに偽装したりと、宣伝も必死で手段選ばなくてかないませんな。

今後も有意義な情報期待してます。