フィッシングとは?
フィッシングとは、ハッカーがユーザーにパスワードや社会保障番号などの機密情報を共有させることです。これには通常、銀行などの信頼できるソース(餌)から送信されたように見えるスパムメールが送信され、信頼できるソースになりすましている不正なWebサイトにリンクします(これが罠です)。
このような攻撃の手口と仕組みを十分に理解することは、フィッシングの企てを見破るのに役立つだけでなく、フィッシングの罠が仕掛けられた不正なWebサイトでの対処について知識を得られます。
フィッシングメール(おとり)
フィッシングメールは信頼できる組織になりすましてユーザーの認証情報を盗みます。以下の例では、メールは一般的なフィッシング手法を用いており、ユーザーにアカウント情報の更新を求めています。ただし、リンクの上にマウスを移動しても、会社の実際のWebサイトには移動しません。代わりにフィッシングの罠サイトに移動します。
フィッシングWebサイト(罠)
ユーザーがフィッシングメールのリンクをクリックすると、攻撃者になりすましている不正なWebサイトに移動します。このトラップサイトは、ユーザー名や銀行情報などの機密情報の入力をユーザーに求めます。ユーザーが情報を入力すると、その情報はハッカーに送信され、ハッカーがアカウントを侵害します。
以下に、信憑性のあるフィッシングページの例を挙げます。
これを確認する唯一の方法は、実際のGoogle®サインインページではなく、ブラウザのアドレスバーを確認することです。この例では、ドメイン名が実際にはgoogle.comではないことがわかります。
たとえば、http://login.google.com.evilphishingsite.com/index.html 、あなたが本当にアクセスしているサイトはevilphishingsite.comです。
あなたのアカウントでホスティングされるフィッシングサイト
サイトがFTP侵害を受けた場合、ハッカーがアカウントを使用してフィッシングWebサイトをホストする可能性があります。次のステップについては、Webサイトがハッキングされました。どうすればよいですか?
ファイルとディレクトリを見ると、知名度のある社名(銀行やGoogleなど)を付けたディレクトリがフィッシングに使用されていることがわかります。 例:
- ./html/HSBC/hsbc.com/
- ./html/Gmail/googledocs/Googledock/
関連する手順
- フィッシングはこちらから報告できます。
その他の情報
フィッシングと自分自身を守る方法については、次のリソースをご覧ください。