テクノロジー

2018.02.08 15:30

2.5億人が見る米掲示板で発生した「パスワード窃盗」の手口

chrisdorney / shutterstock.com

自らを“インターネットの玄関口”と称する米国の掲示板サイト「Reddit」は、アメリカで4番目に人気のサイトで、ユニークユーザー数は2億5000万人近くに及んでいる。

当然サイバー犯罪者のターゲットにもなっており、最近では本物そっくりの偽サイトを作って閲覧者からユーザー名とパスワードを盗むことに成功している。

セキュリティの専門家のAlec Muffettがキャプチャーした偽サイトのランディングページは、一見すると本物そっくりだ。しかし、よく見るとアドレスがReddit.comではなく、コロンビアのドメインの「Reddit.co」になっている。

これは「タイポスクワッティング」と呼ばれる手口で、本物のサイトのアドレスと極めて似たアドレスを取得することでユーザーを騙そうとする手法だ。

さらに、このサイトを本物らしく演出するのがブラウザの上部に表示される緑のアイコンだ。しかし、クリックしてみると証明書の発行者は本物のRedditに証明書を与える「DigiCert」ではなく、「Comodo」となっている。

また、偽サイトには本物のサイトのトップにあるはずのスポンサードリンクがなく、広告も表示されない。

しかし、それでもこれが偽サイトであると気づかないユーザーは多いだろう。ネットに詳しい人でも騙される場合はある。もし偽サイトを利用してしまった場合は、本物のRedditに行ってパスワードを変更する必要がある。

このような偽サイトを誤って訪問することを防ぐためにも、アドレスを直接入力するのではなく、ブックマーク経由でアクセスすることをお勧めしたい。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事