知り合いから Twitter の Direct Message にこんなのが。
Found a funny picture of you! http://t.co/( 省略)
怪しいのは間違いなくて、実際彼はパスワードを抜かれていたわけですが、
どうやったらこうなるのか興味があったので体験してみました。
慎重にことを進める。
Twitter はパスワードが漏れるか、OAuth 認証を許可しない限り、アカウ
ントを乗っ取られることはないはずです。でも慎重を期すために、Web ブ
ラウザはメインでは使っていない Firefox を使うことにしました。
アカウントも普段とは別なのを使います。http://twitter.com にアクセス
して、一旦ログアウト。以前、動作検証用に作ったサブアカウントでログ
インしました。
次におもむろにアドレスバーに Direct Message の URL を貼り付けて、
Return キーを押下。twitter.com から「安全でない外部サイトに移動する
けど問題ないか」聞かれました。このあたりでいつもと違う雰囲気。
移動したところ、Twitter からログアウトしてしまいました。
???
その巧妙な仕組みを理解
よく分からないなあと思い、別な作業をしていましたが、また思い直して
再挑戦。
!?
twitter.com じゃない!!
これほど精巧な作りだと、アカウントとパスワードを打ってしまうのも無
理はないです。すぐにタブを閉じないと、あとで忘れて打ってしまうかも。
まとめ
フィッシングサイトのへ防衛策として「リンクを不用意に踏まない」とよ
く言われますが、なぜ踏んだだけで危険なのか、今まで理解していません
でした。IE じゃあるまいし、踏んだだけで危険なわけないじゃんと。
Web サービスで認証が切れて、ログイン画面に飛ばされるのは良くあるこ
とです。その「良くあること」を利用した巧妙な仕組みだなと、腹の底か
ら実感しました。
Twitter 程度なら引っかかってもたかが知れていますが、オンラインバン
キングや PayPal とかだと厳しいですね。