こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に
「やじうまの杜」では、URLにBasic認証のIDとパスワードを埋め込む巧妙な手法が発見され、セキュリティ上の注意が喚起されています。
この手法は、URLにスラッシュ部分を含む文字列を利用して正規のドメインに見せかけ、パスワード部分を隠蔽することで攻撃を行うものです。
メールのリンクをクリックする際は、URLを注意深く確認し、信用できないメールには慎重に対処する必要があります。
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
メールで送られてきたリンクは、アクセス先のドメインがホンモノかどうか注意深く確認してからクリックしましょう――というのはセキュリティの初歩としてよく言われますが、「目視でチェックしても絶対にわからないだろ!」という巧妙な手法が発見されて、「X」(旧称:Twitter)で少し話題になっています。
この方法は、URLにBasic認証のIDとパスワードを埋め込む構文を悪用したもの。「@」より前の部分をもつURLを見かけることは最近なくなりましたが――かつてFTP接続などでよく見かけましたよね――、れっきとした正しい記法です。
本来ユーザー名に「スラッシュ」(/)を含めることはできませんが、そこは「スラッシュっぽく見える別の文字」で代用されているようです。これでパッと見、パスワード部分が正規のドメインのように見えてしまうわけ。
また、「@」以下の部分は不正なドメインだと悟られないよう、URLエンコードで隠蔽されています。実に巧妙ですね。
対策としては、クリックしたあとに開かれるWebブラウザーでもちゃんとURLを確認することでしょうか。アドレスバーには真のドメインがわかりやすく表示されているはずです。
また、クリックするだけで攻撃が発動するタイプに備え、URLをスキャンしてくれるメールアプリ・サービスを使うか、そうした機能を備えたセキュリティソフトを導入することも検討したいですね。
ともかく、メールは基本的に信用できないものとして扱うべきです。銀行やキャッシュカード会社からの連絡は、公式のWebサイトや専用アプリで確認できることもありますので、メールがきたらリンクをクリックする前にそちらをチェックしましょう。
