リンク先の URL が正しくても、JavaScript を使って、偽のポップアップウインドウを出す、という手法への警戒が呼びかけられています。この手法にはなかなか気づけないかも。

「正規サイトでも安心できない」フィッシングの新手口

犯人は、銀行へのリンクなどを表示したサイトを開設。このリンクをクリックすると本物のサイトにつながるが、その上に重なるように偽のウィンドウが開かれ、正規の手続きと信じ込ませる。

実際にどんな風にポップアップが表示されるかテストできるサイトへリンクが張られていますので試してみて下さい。

Test Now - Left Click On This Link と書かれたリンクを開くと、Google のトップページが開かれるのですが、以下のようなウインドウが開かれます。 (Safari で検証。開くのに多少時間の遅れがあります。)



リンク先の URL は間違いなく、http://www.google.com です。どうやってこのウインドウを出しているかというと、リンクへのクリックを引き金に JavaScript を走らせている (onclick) ようです。この場合、「Safari でリンク先の URL を表示させる」のように設定して、リンク先を表示させるようにしていても、リンク先の URL だけではこのような罠がしかけられているのはわかりません。

ここで出てきたポップアップウインドウに値を入力する (またはキャンセルする) と、以下のような警告が出ます。これは、この脆弱性を指摘しているサイトが出しているもので、Safari が警告しているわけではありません。(Safari の警告だとしても後の祭りのように思いますが。)



今回の場合、ちょっと怪しげな小窓が出てきたりするので、なんかおかしいと気づくかもしれませんが、そうでなければ気づきにくいだまし方ですね。

JavaScript を無効にしておけばいいのですが、最近は Google Maps をはじめ、Ajax なサイトが増えているので、Safari の場合、いちいち切り替えるのも面倒です。(Firefox は簡単に切り替えられる拡張機能があります：PrefBar, PrefBar 日本語版)

Safari でも PathHelmet (シェアウェア US$10) を使えば、任意のサイトだけ JavaScript を有効にする、ということもできなくはないですが。

SafariStand (フリーウェア・カンパ募集) の Site Alteration を使うと、同様にサイトごとに JavaScript の設定ができます。

Trackback Ping URL(U)