スポンサードリンク

これはひっかかった・・・

先日、WEBセキュリティの会社に勤める友人と会った。
私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの？何に気をつけたらいい？と聞いてみたんです。

彼の話は面白い話でいっぱいだった。

例えばYouTubeの上のような画像。
この中心の再生ボタンを押すと、ウィルスのダウンロードが始まるプログラムも見せてもらったが、これはかなり引っかかる･･･。

もう一つ、私がひっかかりそうなものとして『Ｂボタンフィッシング』を教えてくれた。

Ｂボタンフィッシングとは何？

記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン（Ｂボタン）を設置しているブログを最近良く見かける。
何気なく私はそれを利用したりしている。

↑これのこと

彼がサンプルとして作ってくれた物を試してみた。

Ｂボタンをクリックすると次の画面が出てくる。
はてなログイン

『あれ？セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
すると次の画面へ飛ぶ。

ここで、ブックマークの追加を押すと、実際にきちんとブックマークが出来るところがまた恐ろしい。

見事な流れにフィッシングに気づかなかった

よくよくはてなの画面を見るとURLが全然違う画面が一つだけある。
それはログイン画面だ。

ログイン画面に入力した内容を、サーバーにあるテキストファイルに書き込むプログラムが仕込まれている。

ホスト名、IPアドレス、ブックマークした時間。
サーバーには、このログインＩＤとＰＡＳＳを保存するログファイルがあり、ここに書き込まれる。

そのあとの仕組みもいやらしい

はてなブックマークする画面というのは次のアドレスだ。

http://b.hatena.ne.jp/entry/http://ここにブックマークする記事のURL

これでブックマーク直前の画面にいく。

だから偽ログインが終わったあと、上のアドレスのブックマークURLにジャンプすると、きちんとはてなでブックマークが出来るのです。

ちょっとややこしい話になるかもしれないけど

簡単にばれないような細工もある。

例えば、偽アドレス
http://nisemono90.com/89.html
という記事をブックマークしようと、偽ブックマークボタンを押すと、偽ログイン画面が出て、入力を求められる。
ログインして本物のはてなページへ飛ぶと、次のアドレスをブックマークしようとしている。
http://nisemono90.com/demo.html

つまり、はてなに登録するURLは、正常なフィッシングの仕掛けのない記事を使い、フィッシングするページはブックマークされないようにするシステムだ。

一応、ネタ用に作ってくれたものなので、このシステムは既に削除されていることをあらかじめご了承ください。

これはもしかしたら私も引っかかるかもしれないなと感じ、悪用厳禁で、自己防衛のために覚えておいていただければなと。

あとがきつけたし
朝方書いた記事で時間がなかったため、ブックマークIDを使うとどんなことをされるのかも聞いていたのですが書ききれませんでした。
続きは2007年4月6日中にアップいたしますので、どうかご勘弁くださいますようおねがいします。

さらにつけたし
続きをアップしました

スポンサードリンク

Comments(3) Trackback (10)

～実験中～
twitterに送る

この記事を見た人は以下も見てます

関連エントリ抽出中...
ローディング

ブックマークIDとPASSが抜かれたぐらいでなんだ？という方の為に « ホーム » FC2ブログ不調

この記事にトラックバックする人はクリック

トラックバックURL（ワンクリックコピー用）
　
トラックバックURL
　http://e0166.blog89.fc2.com/tb.php/95-404b9773
この記事にトラックバックする(FC2ブログユーザー)

トラックバック受信一覧

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

これは、みんな騙されそう。しかも気づかないってのがまた、怖いな。
ソーシャルニュースサービス - PixNews：2007-04-06 12:50

[web]確かにだまされてしまいそうな手口

「続きをアップしました」を押すときにもちょっと疑ってしまいました(^^; http://e0166.blog89.fc2.com/blog-entry-95.html
趣味と物欲：2007-04-06 20:50

超巧妙なフィッシング詐欺

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホーム...
黄星電波新聞部 - IT支部：2007-04-06 21:30

フィッシングを防ぐためのアイコン商標権

はてなブックマーク追加アイコン()を使ったフィッシングが話題になっている。これははてなだけではなく、いろいろなコンテンツ内埋め込みボタン (diggなど)で問題になるものだ。かといって、ブックマークレットを使えばいいじゃん、というのは悲しい。せっかく便利になっ�
ダイミテイ：2007-04-07 03:07

[情報]セキュリティ・情報流出まとめ

最近よくWinnyの情報流出がニュースになりますが、実名でブログを書くと就職の際に検索される、「1234」のようなパスは試される、Windowsなどのパスワードを解析するソフトがある…など、身近なところに危険がいっぱい！　他にもスパム対策・ウィルス対策など、お役立ち情�
萌え理論Blog：2007-04-07 07:05

[net]フィッシングの巧妙な手口

はてなブックマークを見てたら、そんなエントリを見つけました。悪用厳禁です。ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳 Webアプリを作ったことのある人なら、この手口のやり方がイメージできるでしょう。作っ
hellkite 日記と雑記とメモ。：2007-04-07 13:19

最近は一般サイトでもこんな情報あるのね

　最近、マイル集めの
ひとえの雑記帳：2007-04-07 15:25

IDとパスワードを抜き取る手口

　「ホームページを作る人のネタ帳」というブログで，最近の「ウィルス感染経路」と「IDとパスワードを抜き取る手口」について紹介されていた。自分でも気をつけるために，メモしておきたいと思います。なかなか巧妙な手口だと思います。「ソーシャルブックマークユ
日常生活でのセレンディピティ：2007-04-07 16:46

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

http://e0166.blog89.fc2.com/blog-entry-95.html これは気が付かないかも。気を付けなきゃ。
Whoopee(^ー゜)/〃：2007-04-10 12:29

ブックマーク管理 part1

様々なブラウザを使い始めると、そのブックマーク（お気に入り）がひとつのファイルであることを強く望むようになります。なぜ各ブラウザご...
t2\'s stupidly thinks：2008-03-12 04:20

ディスカッション

通りすがり　

はじめまして、有意義な情報でした。

YouTubeのサムネイルからはワンクリサイトに誘導する手口も多いですね。
トロイは最悪ですが、一応、サムネイル上にポインターあわせれば、本物は三角マークが変化しますから、見抜けるかと・・・フラッシュとか使って三角マーク変えれば完璧にやられそうですが・・・まだそこまで手の込んだのは見ていません。

Ｂボタンフィッシングは、ココ見なかったら引っかかったかも。ノーマークでした。

サイト運営してますが、こういう悪質なサイトほどスパムや普通のサイトに偽装したりと、宣伝も必死で手段選ばなくてかないませんな。

今後も有意義な情報期待してます。
2007/04/14 Sat 16:02｜ URL｜

Yamada　 はじめまして

コメントありがとうございます。
そういっていただけると光栄です。

なんといってもブログを書く気力になります。
こちらこそありがとうございました。
2007/04/14 Sat 21:47｜ URL｜

のだめ　 勉強になりました

はじめまして、いろいろ読みました。
こわいですね。。。簡単にひっかかりそうです。

2008/07/22 Tue 14:29｜ URL｜

コメントの投稿はこちらをクリック

FC2ブログ 紹介予定派遣

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

これはひっかかった・・・

Ｂボタンフィッシングとは何？

見事な流れにフィッシングに気づかなかった

そのあとの仕組みもいやらしい

ちょっとややこしい話になるかもしれないけど

トラックバック受信一覧

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

[web]確かにだまされてしまいそうな手口

超巧妙なフィッシング詐欺

フィッシングを防ぐためのアイコン商標権

[情報]セキュリティ・情報流出まとめ

[net]フィッシングの巧妙な手口

最近は一般サイトでもこんな情報あるのね

IDとパスワードを抜き取る手口

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

ブックマーク管理 part1

SPONSORS

最近のエントリー

カテゴリー

このブログについて

タグクラウド

Ads

ブログ記事を検索

月別過去記事

リンク

お問い合わせとか

プラグイン

ads