更新: Chrome の最新バージョンでは正しい URL が表示されるようになりました。
フィッシング攻撃(偽のウェブサイトに誘導し、本物の認証情報でログインさせようとするもの)のほとんどは、通常簡単に見破られます。メールは登録名ではなく、一般的な内容であることが多いです。文法がおかしかったり、言葉遣いがおかしかったりします。緊急の対応を取らなければアカウントを閉鎖すると脅迫するメールなどです。
これらの手がかりをすべて見逃してリンクをクリックした場合、URLを見ると、それが実際には偽のウェブサイトであることがわかります。しかし、中国のセキュリティ研究者が作成したあるデモサイトでは、ブラウザウィンドウに正しいhttps://www.apple.comのURLを表示しているように見える偽のウェブサイトにアクセスする方法が示されています。
研究者の Xudong Zheng 氏によると、このサイトが使用するトリックは、偽装するサイトの適切な ASCII 文字と同じように見える Unicode 文字を使用することだという。
「xn--pple-43d.com」のようなドメインを登録することは可能ですが、これは「аapple.com」と同等です。一見すると分かりにくいかもしれませんが、「аapple.com」はASCII文字の「a」(U+0061)ではなく、キリル文字の「а」(U+0430)を使用しています。これはホモグラフ攻撃として知られています。
Safariはこれに騙されませんが、Chrome、Firefox、Operaはすべて騙されます。これらのブラウザのいずれかを使ってhttps://www.xn--80ak6aa92e.comにアクセスすれば、このことが分かります(このサイトはZhengが概念実証のために作成したもので、完全に安全です)。SafariではこのURLはここに表示されている通りに表示されますが、他のブラウザではhttps://www.apple.comと全く同じように見えます。
もちろん、フィッシング詐欺師がこの脆弱性を最大限利用するために、ユーザーをそのサイトに誘導する電子メールをサイトと同じくらい説得力のあるものにする必要がありますが、半分説得力のある電子メールでも多くの人が騙されます。
このトリックは、よくあるアドバイスをさらに強化するものです。ウェブサイトにアクセスする際は、必ず自分のブックマークからアクセスするか、URLを直接入力してください。たとえ知り合いから送られてきたように見えても、予期せぬメール内のリンクからアクセスしてはいけません。その他のヒントはこちらをご覧ください。
フィッシングは、2014 年に起きた有名人ヌード攻撃で使用された iCloud ログイン情報を入手するために使用された 2 つの方法のうちの 1 つでした。
ありがとう、フィフィ。
ionter.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
