トレンド:フィッシングから「マンインザミドル」フィッシングへ 2011年10月01日00:15 ツイート sean_sullivan by:ショーン・サリバン ヘルシンキ発 我々が最近行った調査に基づき、フィッシングのメソッドがどのように進化しているかを以下にご紹介する。 電子メールフィッシング 下のメッセージは、Blizzard Entertainmentからのものだと称している。 同メールは、現在開発中のゲームへのアクセスを約束することで、受信者にフィッシングを仕掛けようとしている。 言語も文法の用法も妥当だが、完璧ではない。 いくぶん奇妙なことに…なりすましているメールアドレスは「noreply@blizzard.com」だ。 ————— 電子メール + サーバフィッシング このメッセージは、フィンランドのNordea Bankからのものだと称している。 言語と文法はひどい(Goo
ネットエージェントは2月24日、同社の名前に酷似した社名の企業が、運営するサイトの利用料金未納について携帯電話メールを送信しているとして、注意を呼びかけた。社名がネットエージェント株式会社ではなく、株式会社ネットエージェントになっているという。 このメールは、「登録制の情報サイトに初回無料で登録したが、そのまま解約せず放置したため、継続使用料および延滞利息(遅延損害金)が発生している。そのためネットエージェントの代行としてこのメールを送っており、当社に至急連絡を取るように」といった内容の文面となっている。しかし、同社はでそのような有料の情報サイトやそれに類する有料サイトは一切運営していないことから、同社とは一切関係のないメールであるとしている。 これらのメールには、発信者への返答を促す内容が記載されている。しかし、返答してしまうと振り込め詐欺やフィッシング詐欺などの被害に遭ったり、暗証番号
読者の中には携帯電話向けのウェブコンテンツをターゲットにしている方も多いだろう。携帯からのアクセス手段のひとつに「QRコード」がある。今回はこのQRコードに目を向けてみたい。 最近のQRコード事情QRコードはもともと、自動車部品メーカーである株式会社デンソーが、1994年に生産管理のために開発した二次元コードですが、その仕様をオープンにして誰でも利用できるようにしたために、さまざまな用途に広がりました。特に、携帯電話からウェブサイトに接続する際、面倒な文字入力の代わりに携帯電話のカメラでQRコードを撮影してアクセスするという利便性が受け入れられて、広く普及しています。 カメラ付きの携帯電話があたりまえになり、昔の機種に比べて読み取りの精度も速度も格段に向上しました。昔、QRコードの読み取りに苦労した経験のある方、ぜひ最近の機種で試してみてください。 QRコードは自分でも作れる携帯電話からイ
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ネットワーク社会における新たな脅威として、アプリケーションソフトウェアの脆弱性を狙った攻撃が発生していることから、これらの攻撃の実体の把握と対策を促進するための資料「ソーシャル・エンジニアリング(*1)を巧みに利用した攻撃の分析と対策」を、2009年2月6日(金)に公開しました。 「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」の詳細は次のPDFファイルをご参照ください。 ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 -脆弱性を狙った脅威の分析と対策について-(427KB) 脆弱性を狙った脅威の分析と対策 2008年4月16日、IPAセキュリティセンターを騙り、マルウェア(*2)の仕掛けられたファイルが添付された「なりすましメール」が出回ったことを確認し、IPAでは「重要なお知らせ」として注意喚起
筆者は以前書いたブログ記事で,フィッシング・キットがどのようなものであるかを解説した。さらに,フィッシング・キットがよく備えている,フィッシングとして知られるソーシャル・エンジニアリング攻撃に加担する詐欺師向け機能についても書いた。今回は,このようなフィッシング・キットに採用されているデータ送信方法に焦点を当てる。つまり,フィッシング被害者から集めた情報を保存し,最終的に詐欺師の元へ届ける手段を説明する。 データ送信方法の進化は,Web技術のたゆまぬ進歩と密接に関係している。我々が数年前に初めて遭遇したフィッシング攻撃は,完全に静的なHTMLだけで構成されていた。その当時,動的なコンテンツをホスティングできる処理能力を持つWebサーバーは非常に珍しかった。そのような時代ではあるが,集めた個人情報の送信にぜい弱な「入力データをメールで送信するWebフォーム」用プログラムを使うことが一般的だっ
ニセのページに誘導してオンラインバンキングのパスワードなどを盗み出す「フィッシング」。全世界で行われているこのフィッシング攻撃の実に半分に関与していると言われ、銀行だけで1億ドル(約106億円)もの被害額を出している謎のオンライン犯罪組織、それが「Rock Phish」です。 彼らはごく少数の人間で構成された少数精鋭のテクノロジー犯罪者集団で、メンバーは12人程度と推測されており、フィッシング攻撃で入手した情報は「Mother Ship」(母船)と呼ばれる中央サーバに集め、IRCなどを使って業者へ売買していると考えられています。 この謎の犯罪組織の姿に迫ってみましょう。詳細は以下から。 Rock Phish - Wikipedia, the free encyclopedia 彼らはもともとはルーマニアを起源としているとされており、先月はフィッシング攻撃に使用しているボットネットのインフラ
2008/07/30 RSAセキュリティは7月30日、フィッシング詐欺は依然として増加基調にあるとする月例レポートを公表した。 RSA Anti-Fraud Command Center(AFCC)によると、2008年7月のフィッシング詐欺件数は世界で1万3695件に上った。1万4000件~5000件で推移した3~5月に比べれば少ないが、前年比では約2倍の水準だ。 背景には、「メールアドレス収集」「ボットネット運営」「攻撃/フィッシング用ツールキット開発」など、攻撃者側の作業が分業化し、それぞれがビジネスモデルとして確立していること、またその結果として、DNSサーバの設定をひんぱんに変更して、フィッシングサイトのありかを次々に変える「Fast Flux」といった高度な攻撃手法が登場していることが挙げられる。最近はさらに、Fast Fluxにボットネットを組み合わせ、SaaSとして提供するケ
インターネット犯罪対策に関する国際カンファレンス「CeCOS II 東京:Counter-eCrime Operations Summit」で26日、フィッシング対策協議会で技術・制度検討WGの主査を務める情報セキュリティ大学院大学教授の内田勝也氏が、日本におけるフィッシング詐欺の特徴を説明した。 日本におけるフィッシングについて内田氏は、人間の心理的な弱さを突いて重要な情報を取得するソーシャルエンジニアリング的な手法が用いられていると指摘。日本独自の事例としては、PCや携帯電話のサイトを利用したワンクリック詐欺のほか、ソーシャルエンジニアリングの一種として、振り込め詐欺など“優れた”方法があると紹介した。 「振り込め詐欺は非常に特殊なフィッシング」と語る内田氏は、この犯罪が起こる背景として金融機関の存在を挙げた。日本では「普通預金の口座開設は1円から可能で、口座維持費用は不要」「ATMは
ドメイン登録業者からのメールを装って登録者のアカウント情報を入手し、ドメインを乗っ取る手口が出現したとして、ICANNが注意を呼びかけている。 インターネット管理組織のICANNは、ドメイン名の登録者を狙ってフィッシング詐欺を仕掛け、ドメインを乗っ取る手口が出現したとして注意を喚起するアドバイザリーを公開した。 この手口では、攻撃を仕掛ける側がドメイン登録業者(レジストラ)を装い、ユーザーが登録しているドメイン名の期限切れやアカウント管理問題などについて知らせる内容のメールを送付する。 しかしこの内容は偽りで、メールに記載されたリンクをクリックすると、レジストラの公式サイトに見せかけた偽サイトが開く。このサイトはドメイン管理アカウントのログインページに見せかけてあり、ユーザー名やパスワードなどのアカウント情報を入力させてだまし取る仕掛けになっている。 攻撃側は、この手口でだまし取ったログイ
最近、政府機関や国内の企業をかたったフィッシング詐欺が増加傾向にある。スペシャリストらが詐欺の実情と対策を紹介した。 実在する組織やサービスの名称をかたった電子メールをコンピューターユーザーに送りつけ、実在サイトに似せたWebサイトで個人情報などを搾取する「フィッシング詐欺」。最近では、日本の政府機関や企業の名称をかたった手口が急増している。国内のフィッシング詐欺の実情や対策を紹介するフィッシング詐欺対策協議会主催のパネルディスカッションが5月19日、都内で開催され、専門家らが意見を交換した。 国内組織をかたったフィッシング詐欺は4~5年前から存在が確認されていたものの、最近ではゆうちょ銀行やイー・バンクの名称、サービスを悪用した手口が発見されるなど、日本を狙った手口が目立ちつつある。同協議会が取りまとめたフィッシング詐欺サイトの発生件数は、2006年度の220件から2007年度は1157
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
Overview "HTTP Mutual Access Authentication Protocol" is a proposed new protocol for preventing Phishing attacks against Web systems. This protocol provides true mutual authentication between HTTP clients and servers using simple password-based authentication. Unlike Basic and Digest HTTP access authentication protocol, the protocol ensures that the server knows the user's entity (encrypted passwo
フィッシングツールキット市場が活発化している。フィッシングツールキットを使えば、技術に詳しくない人でもすばやく簡単に、銀行の偽装ウェブサイトを作り上げることができる。これらのキットは安いものでは30ドルから出回っている。 フィッシングキットは珍しいものではないが、Websenseのセキュリティ研究担当バイスプレジデントであり、Anti-Phishing Working Groupの関係者でもあるDan Hubbard氏によれば、過去一年でキットの量が著しく増加し、その質も向上しているという。 Hubbard氏によれば、フィッシングキットは「何年も前から出回っていたが、量が増加したことが大きな変化だ。また、出回っているキットの設計も巧妙になっている」という。 Hubberd氏は特に、こうしたキットが一般的な(フィッシングサイト)防止技術に対し回避策があることをうたっていることを強調した。回避
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
