SNSで流れてきたリンクをタップする前に!
2018-06-26 | ご注意ください
最近は、とあるサイトでちょっとだけセキュリティ関連の記事を書いておりますが、その時にちょっと気になったことがあったので、テストしてみました。
トレンドマイクロの記事で「SNSからの情報漏えいを防ぐ7つのチェックポイント」というエントリーがありまして、その2つ目のチェックポイントに「2.SNS上のURLリンクを不用意に開かない」というのがありました。
要約すると、友人になりすまして詐欺サイトへのURLリンクに誘い込む手口があるので、注意しましょう!というものです。
いまいちピンと来ないですね~、多くの方が見たことがある「レイバンサングラスの投稿」を思い出してもらうとわかりやすいかと思います。なぜか知り合いがレイバンを勧めてくるアレです。
また、時にガチで乗っ取られて「プリペイドカード買って」と、メッセージを送ってくる詐欺もあります。
う~む、毎日のようにやってくるフィッシングメールも、リンクを偽装して詐欺サイトへ誘導していることを考えると、攻撃者はなんとしてでもリンクを踏ませたいわけですね。
本物そっくりの偽サイトでID/パスワードを盗む「フィッシング詐欺サイト」のみならず、「あなたのPCはウイルスに感染しました」とハッタリかまして、架空のPCサポートサイトに誘導してお金をだまし取る「サポート詐欺サイト」など、とにかく、罠を仕掛けたサイトに誘導することが、犯人にとっての第一歩なのです。
そのため、あの手この手でやってくるのです。
ちなみにサポート詐欺というのは以下の画面のようなパターンが多いです。
決して電話をかけてはいけませんよ!
詳しく知りたい方は警察協会が公開しているムービー
http://www.keisatukyoukai.or.jp/untitled30.html
の第二部「ウェブサイトで騙された!」を御覧ください。
Facebookやツイッターに出てくるリンクは信用できるのか?
詐欺サイトへのリンクは、いろいろなパターンがあって、
- ★怪しまれないよう"それっぽいURL"でクリックを誘い、瞬間的に別のURL(本当の詐欺サイト)にジャンプ(リダイレクト)させるもの
- ★HTMLメールの仕組みを逆利用したアンカータグによる「URL偽装」するもの
- ★見た目ではリンク先が分からない短縮URLやQRコードを使ったもの
など、よくもまぁ色々と考えてやってくるもんです。
ふと、じゃぁSNSで通常の投稿に出てくるリンクは信用できるのか?と思って、以下の実験をしてみました。Yahoo!のリンクに見えますが、Googleに飛びます。
これ、本当のリンク先は「https://labo.siteprv.com」なんですが、そのページのHTMLをちょっと細工しています。
FacebookやツイッターなどSNSへ任意の情報を送ることができるOGPという記述があり、通常はそのページのタイトルや要約なんかを記述するんですが、わざとYahooの情報にして、ついでに開いた途端にGoogleにリダイレクトするという仕掛けになっています。
これは、情報を受け取ったSNSは、リダイレクト先まで読んで掲載するのかをテストした結果です。
Facebookでは一見「Yahoo!Japan」へのリンクのように見えます。
リダイレクト先までは読んでませんね。しかもYahoo!から画像や文字情報を引っ張ってきています。
リンク先のURLも記載されているものの、この見え方じゃ気づきにくでしょう。
ちなみにツイッターはこちら。
ツイッターでのOGPテスト https://t.co/pd3ICSJIlu
— モリケイスケ (@hotei40) 2018年6月26日
こちらはYahoo!から情報を引っ張ってくることはありませんが、リダイレクト先は無視しています。
(画像はYahooのロゴを使うと問題なので、雰囲気として任意の画像をアップしてあります。)
また、内部のリンク先は自動的に「https://t.co/pd3ICSJIlu」という短縮URLになってますね。
とりあえず、Facebookとツイッターでしか試してませんが、Facebookはかなり間違えやすい「偽装」レベルのURLリンクが貼れますね。
まとめ
ということで、どちらもリダイレクト先は無視! つまりリンク偽装(OGP偽装)はできてしまします。
ただ、今回の実験のような偽装リンクをFacebookではまだボクは見たことがないので、実際どれほどの悪用できるかは何とも言えませんが、浅く広くそして大勢の友人と繋がっているビジネスパーソンは、注意しても良さそうです。
例えば、乗っ取ったアカウントでリンク偽装の投稿するとか、最初は感動する内容の実在ブログに飛ばしておいて「いいね!」やシェアをある程度集めた後に、中身をすげ替えるとか、かなぁ。
正直言ってよほどネットに詳しい人でない限り「誘導されないようにする」ことは、事実上ムリかと思いますが、最低限「自分が会員登録しているサイトは、リンクからではなく検索して開く」ようにして頂くだけでも、多少はマシかと思います。
【怪しいと思ったら、すぐに検索!】
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) June 3, 2019
突然送られてたメールの内容に少しでも不安を感じた場合は、メールのURLなどは触らずに、件名や本文の内容ですぐにインターネット検索するクセをつけましょう。フィッシングメールや迷惑メールであれば、インターネットから情報を入手できる場合が多いです。
もうね、リダイレクトもHTMLメールも無くなっちまえばいいのに!と思う今日このごろです。
2014年の記事ですが、こんなのがあります。
>「日本の利用者を狙う偽サイト、悪用のため7万件のドメインを取得」
そりゃサイバー犯罪も増えますわな。
この記事はお役に立ちましたか?
役に立たなかった | 役にたった | |