ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

  • 2007/04/06
  • このエントリーをはてなブックマークに追加

スポンサーリンク

YouTube

これはひっかかった・・・


先日、WEBセキュリティの会社に勤める友人と会った。
私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの?何に気をつけたらいい?と聞いてみたんです。

彼の話は面白い話でいっぱいだった。

例えばYouTubeの上のような画像。
この中心の再生ボタンを押すと、ウィルスのダウンロードが始まるプログラムも見せてもらったが、これはかなり引っかかる・・・。

もう一つ、私がひっかかりそうなものとして『Bボタンフィッシング』を教えてくれた。
IT/Web業界に強い転職サイトGreen

Bボタンフィッシングとは何?


記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。
何気なく私はそれを利用したりしている。

entry.gif
↑これのこと

彼がサンプルとして作ってくれた物を試してみた。

Bボタンをクリックすると次の画面が出てくる。
はてなログイン

『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
すると次の画面へ飛ぶ。
hatenass6.jpg

ここで、ブックマークの追加を押すと、実際にきちんとブックマークが出来るところがまた恐ろしい。

見事な流れにフィッシングに気づかなかった


よくよくはてなの画面を見るとURLが全然違う画面が一つだけある。
それはログイン画面だ。

ログイン画面に入力した内容を、サーバーにあるテキストファイルに書き込むプログラムが仕込まれている。

ホスト名、IPアドレス、ブックマークした時間。
サーバーには、このログインIDとPASSを保存するログファイルがあり、ここに書き込まれる。

そのあとの仕組みもいやらしい


はてなブックマークする画面というのは次のアドレスだ。

http://b.hatena.ne.jp/entry/http://ここにブックマークする記事のURL

これでブックマーク直前の画面にいく。

だから偽ログインが終わったあと、上のアドレスのブックマークURLにジャンプすると、きちんとはてなでブックマークが出来るのです。

ちょっとややこしい話になるかもしれないけど


簡単にばれないような細工もある。

例えば、偽アドレス
http://nisemono90.com/89.html
という記事をブックマークしようと、偽ブックマークボタンを押すと、偽ログイン画面が出て、入力を求められる。
ログインして本物のはてなページへ飛ぶと、次のアドレスをブックマークしようとしている。
http://nisemono90.com/demo.html

つまり、はてなに登録するURLは、正常なフィッシングの仕掛けのない記事を使い、フィッシングするページはブックマークされないようにするシステムだ。

一応、ネタ用に作ってくれたものなので、このシステムは既に削除されていることをあらかじめご了承ください。

これはもしかしたら私も引っかかるかもしれないなと感じ、悪用厳禁で、自己防衛のために覚えておいていただければなと。

あとがきつけたし
朝方書いた記事で時間がなかったため、ブックマークIDを使うとどんなことをされるのかも聞いていたのですが書ききれませんでした。
続きは2007年4月6日中にアップいたしますので、どうかご勘弁くださいますようおねがいします。

さらにつけたし
続きをアップしました

スポンサーリンク

トップへ戻る

Twitter版のネタ帳では毎週月曜~金曜までWeb屋さんに役立つ色んな情報や単なるネタまでをつぶやいています。

関連するエントリー

コメント

この記事にコメントする人はクリック

コメントポリシーをお読みください
管理者にだけ表示を許可する

通りすがり

はじめまして、有意義な情報でした。

YouTubeのサムネイルからはワンクリサイトに誘導する手口も多いですね。
トロイは最悪ですが、一応、サムネイル上にポインターあわせれば、本物は三角マークが変化しますから、見抜けるかと・・・フラッシュとか使って三角マーク変えれば完璧にやられそうですが・・・まだそこまで手の込んだのは見ていません。

Bボタンフィッシングは、ココ見なかったら引っかかったかも。ノーマークでした。

サイト運営してますが、こういう悪質なサイトほどスパムや普通のサイトに偽装したりと、宣伝も必死で手段選ばなくてかないませんな。

今後も有意義な情報期待してます。

2007/04/14 Sat 16:02| |

Yamada はじめまして

コメントありがとうございます。
そういっていただけると光栄です。

なんといってもブログを書く気力になります。
こちらこそありがとうございました。

2007/04/14 Sat 21:47| |

のだめ 勉強になりました

はじめまして、いろいろ読みました。
こわいですね。。。簡単にひっかかりそうです。

2008/07/22 Tue 14:29| |

トラックバック

この記事にトラックバックする人はクリック

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

これは、みんな騙されそう。しかも気づかないってのがまた、怖いな。

ソーシャルニュースサービス - PixNews:2007-04-06 12:50

[web]確かにだまされてしまいそうな手口

「続きをアップしました」を押すときにもちょっと疑ってしまいました(^^; http://e0166.blog89.fc2.com/blog-entry-95.html

趣味と物欲:2007-04-06 20:50

超巧妙なフィッシング詐欺

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホーム...

黄星電波新聞部 - IT支部:2007-04-06 21:30

フィッシングを防ぐためのアイコン商標権

はてなブックマーク追加アイコン()を使ったフィッシングが話題になっている。これははてなだけではなく、いろいろなコンテンツ内埋め込みボタン (diggなど)で問題になるものだ。 かといって、ブックマークレットを使えばいいじゃん、というのは悲しい。せっかく便利になっ

ダイミテイ:2007-04-07 03:07

[情報]セキュリティ・情報流出まとめ

最近よくWinnyの情報流出がニュースになりますが、実名でブログを書くと就職の際に検索される、「1234」のようなパスは試される、Windowsなどのパスワードを解析するソフトがある…など、身近なところに危険がいっぱい! 他にもスパム対策・ウィルス対策など、お役立ち情

萌え理論Blog:2007-04-07 07:05

[net]フィッシングの巧妙な手口

はてなブックマークを見てたら、そんなエントリを見つけました。 悪用厳禁です。 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳 Webアプリを作ったことのある人なら、この手口のやり方がイメージできるでしょう。作っ

hellkite 日記と雑記とメモ。:2007-04-07 13:19

最近は一般サイトでもこんな情報あるのね

 最近、マイル集めの

ひとえの雑記帳:2007-04-07 15:25

IDとパスワードを抜き取る手口

 「ホームページを作る人のネタ帳」というブログで,最近の「ウィルス感染経路」と「IDとパスワードを抜き取る手口」について紹介されていた。自分でも気をつけるために,メモしておきたいと思います。なかなか巧妙な手口だと思います。「ソーシャルブックマークユ

日常生活でのセレンディピティ:2007-04-07 16:46

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口

http://e0166.blog89.fc2.com/blog-entry-95.html これは気が付かないかも。 気を付けなきゃ。

Whoopee(^ー゜)/〃:2007-04-10 12:29

ブックマーク管理 part1

様々なブラウザを使い始めると、そのブックマーク( お気に入り )がひとつのファイルであることを強く望むようになります。なぜ各ブラウザご...

t2\'s stupidly thinks:2008-03-12 04:20

FC2Ad

広告


IT・Web業界の求人なら転職サイトgreen(グリーン) ホームページテンプレート、WordPressテーマ、Facebookページテンプレートならクラウドテンプレート ネットマーケティングとは│ネットマーケティング検定 SEOコンサルティング&SEO対策 無料レスポンシブWebデザインテンプレート 広告主募集

あわせて読みたい
フィードメーター - ホームページを作る人のネタ帳

人気の記事一覧

あなたのブログの再訪問者を増やす50の方法

私の経験から感じた事を書き記します。全てが全てその時々で、正しいとは限りませんが、一つの指針としてお使いください。因みに全部リスト化すると230くらいありましたが、それはきっとセミナーとかでやるかなぁと。

http://e0166.blog89.fc2.com/blog-entry-824.html

あなたの生活を確実に拘束し時間を浪費させる動画50

今回は生産性を向上させる事ばかり考えて記事を書いてきたので、逆に年末にかけて忙しい皆さんの時間を出来るだけ拘束し、忙しさを倍増させるものが無いかを考えました。その結果、動画で行こうと言う事になったのが1ヶ月以上前。動画閲覧本数はおそらく600本以上。その中から、おもしろそうなものを50個ベストチョイスいたしました。

http://e0166.blog89.fc2.com/blog-entry-820.html

webデザインのセンスを磨く○○系のwebデザインまとめ

webデザインを学ぶならwebデザインから。と言うわけで、今回は海外のエントリを中心に、○○系のまとめをまとめます。

http://e0166.blog89.fc2.com/blog-entry-817.html

jQueryプラグインのベストトレンド総まとめ2010

もはやこの業界ではかなり浸透しつつあるjQuery。今回はそんなjQueryにスポットを当て、本年度紹介された中でも、ホットなトレンドプラグインをご紹介します。

http://e0166.blog89.fc2.com/blog-entry-816.html

ツイッターの日常における35の行動パターン

私が良く見かける35の行動パターンに名前をつけてみようと思う。年末の誰も見てない時に公開しようと思っていた、ただのネタだったのですが、結構時間がかかりこの時期に・・・。

http://e0166.blog89.fc2.com/blog-entry-823.html

ウェブデザイナーのためのウェブアプリ15

OSがWindowsであろうと、ubuntuであろうと、共通のサービスを受けることができるのがウェブアプリケーションです。ウェブデザイナーの中には、自宅ですでにubuntuを利用している人も多い。また、Mac、Windowsと、各自それぞれの使いやすい物を利用していると思います。

http://e0166.blog89.fc2.com/blog-entry-784.html

愛用するGoogleChromeエクステンション12個

この2年でノートPC2台購入。自他のPCはクラッシュしてリカバリー。会社のPCは新しいのがあたり、再セットアップ。そんなこんなで、会社はまぁともかくとして、とりあえず全PCが比較的3ヶ月に一度リカバリーしてもいいように、自分用にメモとして残しておきます。

http://e0166.blog89.fc2.com/blog-entry-784.html

文章や会話のプレゼンテーションを向上させる方法

文章力がないためにプレゼンに失敗した、会話がうまくできずにプレゼンに失敗した。こういう経験はなかなか無い。なぜなら多くの場合、失敗したことに気がつかないからです。

http://e0166.blog89.fc2.com/blog-entry-802.html

サイトの裏側の意識を変え売り上げをアップする方法

ネットショップ運営者が、あることをちょっとだけ始めてみただけでわずか5ヶ月で売り上げが3倍になりました。はたして、webサイト運営がどのように変わったのでしょうか。。

http://e0166.blog89.fc2.com/blog-entry-749.html

webサイトのリピーターを増やすさりげない5つのコツ

多くのビジネスサイトのアクセス数を支えている大手検索サイト、Yahoo、Googleのアルゴリズムが変わる事で、突然商売がひっくり返る事態を回避する方法。

http://e0166.blog89.fc2.com/blog-entry-746.html