スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 22
ストーリー by hylom
なるほど 部門より
なるほど 部門より
taraiok曰く、
著名サイトのドメインによく似たドメインで詐欺や悪意のある行為を行うサイトを立ち上げる、という手法はたびたび話題になるが、最近こういった手法を使った詐欺サイトの被害が増えているという(BBC、Slashdot)。
Farsight Securityによると、すでに銀行、ローンアドバイザー、LegoやHariboなどの詐欺サイトが存在しているという。特に近年ではスマートフォンなどの小さな画面でのインターネット接続が主流になっているため、こうした偽ドメイン詐欺サイトの被害が増えているようだ。
Farsight Securityのレポートによると、1億以上の非英語の文字セットドメイン名を検索したところ、約27%は詐欺師によって作成されていた。こうした偽ドメインには、見えにくい小さな点やマークが追加されることが多い。
また、ここ数か月はPunycodeと呼ばれるコード体系を使用した詐欺ドメインが倍増している。セキュリティ会社のWanderaの創設者Eldar Tuvey氏によれば、彼らはスマートフォンユーザーをターゲットにしているとし、実際、フィッシング詐欺の被害が3倍に増えていることが分かったとしている。
スラドだって (スコア:4, おもしろおかしい)
sradってドメイン
slashdotと紛らわしいじゃないの
Re: (スコア:0)
妙に誤字が多いし、詐欺サイトで間違いないでしょう。
ドメイン見てる? (スコア:1)
元も子もないこと言えば
ドメイン名なんて見てる?
詐欺サイト作ってる方は必死で工夫してるんだろうけど
今時のうっかりさんなんてドメインなんて見てないよ
同じ企業で複数のドメイン使ってたり
よそのサービスを利用してると知らない間に違うドメイン下のページに移動してたり
そもそもドメイン名気にしていられるような環境じゃなくなってるよね?
Re:ドメイン見てる? (スコア:5, 参考になる)
見てはいますが、別サイトにリダイレクトされることがあります。
城南信用金庫のインターネットバンキングを利用していますが、ログイン画面は
www.jsbank.co.jp
からリダイレクトされた
www11.ib.shinkin-ib.jp
に遷移します。
こっちは分かってるからいいのですが、外部サイトに遷移するよと明記していないサイトでは
正式にサービスを提供しているにもかかわらず、あらぬ疑いをかけられてしまうかも。
死して屍 拾う者なし
Re:ドメイン見てる? (スコア:1)
自分は見てるね。
某金融サイトがキャンペーンでプレゼント応募募集してて、やろうと思ってリンクしたら別ドメインで、
おそらく他社のサービスを利用して運用してたらしい。
それって応募の内容が第三者に渡ることなんだよね。ってことで、そのまま閉じた。
Re: (スコア:0)
1から自前でデータベース作ってキャンペーンやるところってあるのかな
Re: (スコア:0)
Googleで検索すると、偽楽天サイトっぽいの(踏んだことはないのでGoogleの概要表示から推察)がよく比較的上位に引っかかりますが、
単に脆弱性のあるサイトに潜ませてるだけなのかドメイン名見れば一発で分かるような奴ですよね。
それでもあれだけ作られてるってことは踏む奴がいるってことでしょうか。
Re: (スコア:0)
去年までよく見かけたのxyzドメインを大量に取得するアフィは潰れたが、
サイトハッキングして商品リンクを貼るのはもう何年もいろんな言語でやってるからなぁ
Re: (スコア:0)
ドメインすら見ない人がCPSなんか見るわけないのになんでOVをDVよりありがたがるのかさっぱりわからん
Re: (スコア:0)
スマホのブラウザのほとんどはアドレスバーにドメインが表示されない、コピーすらめんどくさい
そこでPWAですよ (スコア:1)
フルスクリーン(URL隠せる)にインストールにバックグラウンド動作にPUSH通知と、
フィッシングやマイニングのために用意されたとしか思えない機能てんこ盛りですよ。
ブラウザ側でなんとかならんのだろうか (スコア:0)
検出ルールが分かっちゃえば回避されてしまいそうなので、結局はイタチゴッコなのかなぁ。
フィッシング (スコア:0)
よく銀行系のサイトでクラウドにパスワード置くのは危険!とか書かれてるけど、
毎回自分で入力するのとブラウザに覚えさせてクラウド同期もされる状態でブラウザに入力してもらうのとどっちが危険なんだろうか。
自分で覚えてるパスワードを入力する方がフィッシングに会いそうで怖いんだけど
Re: (スコア:0)
ブラウザがドメイン確認して自動入力してくれる分少し安全かもしれないけど、
きっと偽ドメインでパスワードが自動入力されなかった時、ユーザーは手入力してしまうだろう。
Re: (スコア:0)
IDとパスワードは既に教えてるんだから、画像認識技術を使ってPunycodeと形の似たドメインでパスワードを登録済みの場合は、手入力してしまう前に警告してほしいですね
これが話題になるたびコメントしたい (スコア:0)
「ぷにこーど」ってかわいいよね
Re: (スコア:0)
擬人化はよ
Re: (スコア:0)
( ´∀`)σ)∀`)プニプニ
Re: (スコア:0)
( ´∀`)xn--σ)∀`)プニプニ
表示を変えるのが第一歩 (スコア:0)
URL欄やリンクタグで表示される一切合切を誤認のないデザインのフォントで表示するようルール化するべきでは。
一番早く広められる対策の一つになるはず。
Re: (スコア:0)
グンマー乙
Re: (スコア:0)
無理にスマホつかわなくてもいいのよ?