List of phishing - Baldanders.info
tag:Baldanders.info,2015-01-12:/tags
2015-01-12T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
「企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである」
tag:Baldanders.info,2015-01-12:/blog/000793/
2015-01-12T09:00:00+00:00
2015-01-12T09:00:00+00:00
個人的には SPE への同情は小指の先ほどもないのだが(攻撃者が正しいと言ってるわけではないよ),明日は我が身と己を戒める材料とさせてもらう。 SPE,ありがとう。
Spiegel
/profile/
<p> SPE への攻撃が話題になったおかげかこの手の記事が増えてきた。 個人的には SPE への同情は小指の先ほどもないのだが(攻撃者が正しいと言ってるわけではないよ),明日は我が身と己を戒める材料とさせてもらう。 SPE,ありがとう。 </p><ul> <li><a href="http://blog.f-secure.jp/archives/50741333.html">エフセキュアブログ : 企業が「ザ・インタビュー」ハッキング事件について知っておくべき5つのポイント</a></li> </ul><p> というわけで,5つのポイント。 </p><ol> <li>企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである</li> <li>「パスワード」という名前のフォルダにパスワードを保存しない</li> <li>セキュリティホールを塞ぐ</li> <li>Eメール中のリンクは、添付ファイルと同様に危険である可能性がある</li> <li>Eメールは永久に残るということをお忘れなく</li> </ol><p> 以上。 </p><p> では面白くないので,いくつか蛇足。 </p><p> 守るポイントが絞れるというのは幸運なことである。 もちろんこれはネットワークやコンピュータ機器が適切に運営されているという前提のもとでの話である。 実はメールの管理については,先週末に IPA からこんな記事がリリースされている。 </p><ul> <li><a href="http://www.ipa.go.jp/security/technicalwatch/20150109.html">IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」:IPA 独立行政法人 情報処理推進機構</a></li> </ul><p> この記事では,いわゆる Spear-Phishing タイプの電子メールに関して注意喚起を促している。 具体的な事例が載っているので,是非すみからすみまで読むことをお薦めする。 例として記事で紹介されている「標的型攻撃メールの着眼点」を挙げておく。 </p> <figure> <table> <tbody> <tr><td rowspan="6">メールのテーマ</td> <td>知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容</td></tr> <tr> <td>心当たりのないメールだが、興味をそそられる内容</td></tr> <tr> <td>これまで届いたことがない公的機関からのお知らせ</td></tr> <tr> <td>組織全体への案内</td></tr> <tr> <td>心当たりのない、決裁や配送通知(英文の場合が多い)</td></tr> <tr> <td>ID やパスワードなどの入力を要求するメール</td></tr> <tr><td rowspan="2">差出人のメールアドレス</td><td>フリーメールアドレスから送信されている</td></tr> <tr> <td>差出人のメールアドレスとメール本文の署名に記載されたメールアドレスが異なる</td></tr> <tr><td rowspan="5">メールの本文</td> <td>日本語の言い回しが不自然である</td></tr> <tr> <td>日本語では使用されない漢字(繁体字、簡体字)が使われている</td></tr> <tr> <td>実在する名称を一部に含む URL が記載されている</td></tr> <tr> <td>表示されている URL(アンカーテキスト)と実際のリンク先の URL が異なる(HTML メールの場合)</td></tr> <tr> <td>署名の内容が誤っている</td></tr> <tr><td rowspan="5">添付ファイル</td> <td>ファイルが添付されている</td></tr> <tr> <td>実行形式ファイル(exe / scr / cpl など)が添付されている</td></tr> <tr> <td>ショートカットファイル(lnk など)が添付されている</td></tr> <tr> <td>アイコンが偽装されている</td></tr> <tr> <td>ファイル拡張子が偽装されている</td></tr> </tbody> </table> <figcaption>標的型攻撃メールの着眼点(<q><a href="http://www.ipa.go.jp/files/000043331.pdf">標的型攻撃メールの例と見分け方 <sup><i class="far fa-file-pdf"></i></sup></a></q> 表 2-1 より)</figcaption> </figure> <p> 逆に言うと,こういう内容のメールを送ると相手側に疑惑を持たれる可能性がある。 </p><p> 問題はこういった「怪しいメール」が来た際にどう対処するかだ。 ある程度以上の規模の企業・組織なら怪しいメールに対してどう対処すべきかきちんとマニュアル化されている。 また万一「怪しい添付ファイル」や「怪しいリンク」を開いてしまった場合の対処もマニュアル化されているはずである。 心当たりの無い方は勤務先の業務規則やセキュリティマニュアルを確認してみるとよい。 本当にそういったものがない企業・組織は,この際なのできちんと作った方がいい。 </p><p> 個人的には今回のようなセキュリティ事例は企業・組織内で知識を共有して,常日頃から注意喚起を促すようにすべきだと思う(まぁ大抵のところはやってるだろうけど)。 人間は喉元をすぎれば熱さを忘れる動物なのだ。 </p><p> さて,貴方の勤務先はいかがだろうか。 </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51-pZ52JsUL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/">セキュリティはなぜやぶられたのか</a></dt><dd>ブルース・シュナイアー 井口 耕二 </dd><dd>日経BP社 2007-02-15</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4881359967/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4881359967.09._SCTHUMBZZZ_.jpg" alt="暗号の秘密とウソ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797350997/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797350997.09._SCTHUMBZZZ_.jpg" alt="新版暗号技術入門 秘密の国のアリス"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4594070507/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4594070507.09._SCTHUMBZZZ_.jpg" alt="チャイナ・ハッカーズ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4102159746/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4102159746.09._SCTHUMBZZZ_.jpg" alt="宇宙創成〈上〉 (新潮文庫)"/></a> </p> <p class="description">日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-09-14">2014/09/14</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div>
メールアカウントの不正使用
tag:Baldanders.info,2012-06-07:/blog/000604/
2012-06-07T09:00:00+00:00
2012-06-07T09:00:00+00:00
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
Spiegel
/profile/
<p>
JPCERT/CC から「メールアカウント不正使用に関する情報提供のお願い」というメールが来ていた。
通常は,この手のメールは同じ内容が Web でも掲載され URL が提示されているものだが,今回はそういうのが見つからないので,メモがわりに以下に内容を示す。
</p><blockquote>
「JPCERT/CC では、インターネットサービスプロバイダー (ISP) が提供するメールサービスのメールアカウントおよびパスワード (メールアカウント情報) が何らかの方法で窃取され、そのメールアカウント情報を使用して SPAM メールが大量に送信されるという事象の報告を受領しています。<br/>
本事象は、複数の ISP 事業者のメールサービスにて発生しており、SPAM メールの送信には、正規のメールアカウント情報が使用され、ユーザ認証を受けた上で送信されていることが確認されています。<br/>
これまでにも様々なユーザアカウント情報を窃取するマルウエア、ISP のアカウントを詐取しようとするフィッシングや ISP の POP サーバなどに対するBrute Force 攻撃等の情報提供を受けておりますが、今回の行為者がメールアカウント情報をどのように入手したかは特定できていません。」
</blockquote><p>
ちうわけで,なにか情報を持っている人は <a href="https://form.jpcert.or.jp/">https://form.jpcert.or.jp/</a> までご一報の程を。
</p><p>
そういや LinkedIn でも情報漏洩騒ぎがあったよな。
世知辛いねぇ。
</p>
[いいね!] を「承認」?
tag:Baldanders.info,2011-12-08:/blog/000572/
2011-12-08T09:00:00+00:00
2011-12-08T09:00:00+00:00
最近, Facebook の [いいね!] ボタンを押すと「承認」のリンクが出るサイトを見かけるようになった。
Spiegel
/profile/
<p>
最近, Facebook の [いいね!] ボタンを押すと「承認」のリンクが出るサイトをよく見かけるようになった。
どうやら「承認」のリンク先で改めて [いいね!] としないと反映されないらしい。
</p><p>
私は Facebook の機能には疎いため意味がわからず Wall でつぶやいてみたのだが,似たような症状に遭われた方もいるらしい。
もしやクリックを盗聴する新手の Phishing か,と思ってググッてみたら Facebook がわざとやってるようだ。
</p><blockquote>
「その「承認」ボタンは、最近の導入した「いいね」ボタンに対する”like-jacking attack” への対応の一環です。
ボタンの使われ方などを基準に、ボタンの設置ページで”like-jacking”が発生してることが推測された場合に、「承認」のステップが入ることになります。」
(「<a href="http://blog.bricoleur.in/archives/1216">briccolog ≫ facebookの「いいね」ボタンに「承認」が必要となるケースについて</a>」より)
</blockquote><p>
「最近」とは2011年3月時点から見ての「最近」。
で,その “like-jacking attack” ってなんじゃら? ということになるのだが,
</p><blockquote>
「likejacking 攻撃とは、Facebook の「いいね!」ボタンを悪用するもの。
利用者の許可なくウォールに偽の「いいね!」ボタンを設置する。
友人が偽の「いいね!」ボタンをクリックすると、外部の不正サイトへ誘導されてしまう。<br/>
ほとんどの場合、偽ボタンをクリックしても、利用者のウォールに動画が投稿され、Facebook 内でその動画が増殖するだけで、それほど大きな被害は報告されてはいない。
しかし、中にはマルウェアを利用者のコンピューターにダウンロードし、アカウント情報を盗むものもあるという。」
(「<a href="http://japan.internet.com/busnews/20110907/7.html">「いいね!」ボタン悪用、Facebook 動画の15%に - インターネットコム</a>」より)
</blockquote><p>
というわけで, [いいね!] ボタンを悪用した一種の Phishing らしい。
つまり, Facebook が [いいね!] ボタンに “like-jacking attack” が仕込まれていると判断したサイトでは, [いいね!] ボタンを押しただけでは機能せず,いったん「承認」のプロセスを経なければならなようだ。
しかも “like-jacking attack” かどうかの判定は確実性がない上に自動化されていて,手動で回復できないんだとか。
</p><p>
しかし,このやり方はスジが悪くないか? 実際,覚えがないのに Phishing サイト扱いされているサイトは多いらしい(能動的失敗)。
それに「承認」のプロセス自体が Phishing に見えてしまうため(私のようなうっかり者はともかく)慎重な人間なら「承認」なんかしないだろう。
つまり Facebook のタコなアルゴリズムで “like-jacking attack” の冤罪を受けたサイトは,それ故にユーザから敬遠されてしまうわけだ。
</p><p>
まぁ Facebook のヘボい実装によってユーザの Activity が集まらなくなるのは,まぁ Facebook の自業自得なので大した問題ではないのだが,必死に [いいね!] をかき集めてるサイト運営者の皆さんにはお気の毒としか言いようがない(うちは辺境なので関係なし)。
</p><p>
ところで余談だが, [いいね!] といえば最近 Tumblr 経由で「<a href="http://blog.livedoor.jp/news23vip/archives/4038184.html">【Facebook】俺「飼っていた犬のポチが死にました…」友達「いいね!」俺「いいね!って何だよ!!」</a>」ってのを見かけたが,ネタにマジレスすれば, <a href="https://baldanders.info/blog/000511/">“Like” を「いいね」と訳すのは “Like” の機能の半分しか表していない</a>。
なので,関心のあるものにはバンバン [いいね!] を付けて OK です。
</p>
Flickr サイトに似せた「釣り」
tag:Baldanders.info,2007-01-20:/blog/000261/
2007-01-20T09:00:00+00:00
2007-01-20T09:00:00+00:00
Flickr サイトを覗いたらこんなアテンションが出ていた。
Spiegel
/profile/
<p>
Flickr サイトを覗いたらこんなアテンションが出ていた。
</p><ul>
<li><a href="https://www.flickr.com/news.gne#sec_alert">Important Security Notice</a></li>
</ul><p>
英語不得手で申し訳ないが,
どうやら Flickr サイトに似せた新手の Phishing らしい。
ご用心を。
</p>