SunTrustをかたる餌(IEアドレスバー詐称攻撃)

最初に届くメールはこんな感じ。ステータスバーの偽造は行っていないようで、マウスカーソルをリンクに合わせると怪しげなIPアドレスが見えてしまうのがいまいち粗雑。しかし......

リンクを開いて飛んでいったページはこんな具合になっている。アドレスバーにはなぜかhttp://www.suntrust.com と表示されている。これは IEの欠陥でアドレスバーに任意のアドレスを表示できるという手法をつかったもの。画面ショットは WindowsXPに SP1を当てた直後の古いPCで取ったものなので、この欠陥が残っているバージョンのIEを使っていることになる。

念のために、この画面のプロパティを表示してみよう。本当のURLはSunTrustとは全然関係ないことがよくわかる。変な文字が途中に入っているが、これがIEの表示を狂わせる手法のミソ(説明はしません)。

ついでに、SignOnをクリックしてみると......

アドレスバーが偽造されている上、暗号化されてないページが表示される。

下は本物のSunTrustログインページ。右下に錠前マークが出ている。ただし、このページはIEの右ボタンクリックを無効にしてあるようで、簡単にページのプロパティを表示することができない(錠前マークをクリックして証明書の中身を見ることはできる)。こういう根性の悪いことをやっているから SunTrustをかたったPhishingが多いのではないかと思わないでもない。ユーザが正当性の確認を行う手段を奪っているわけだから。