Yahoo! Japan フィッシング詐欺サイト

セキュリティホール memo メーリングリストで流れたYahoo! Japan フィッシング詐欺メールについて。自分のところには幸い、このようなものが流れてきていないのだが、無事、検体を補足したので晒し挙げ。

おそらくこれが最初の画面と思われる。

ご丁寧にも再入力を促す画面。これで数種類の組み合わせをがっぽり取り寄せてしまえるということか。

上のキャプチャ画面が暗唱番号の入力画面。IDのところが空欄になっている。これはわたしが直接URIをアドレスバーに入れてアクセスしたから引数を持ってこれなかったものと考えられる。

上は、暗証番号が違う…と怒られてしまう画面。どうやって確認してるんだろう。

ここで大問題発生。タイミングによっては直前に引っかかってしまった犠牲者のIDとPWDとおぼしきフレーズがアドレスバーの中に出現してしまう。上のキャプチャでは赤く塗りつぶしたところ。

上が恐らく最後の画面。ご丁寧にも最後まで一貫した作り込み。こういう努力はもっと別のところに向けるべきだと思うんだけどねぇ。とにかく、HTMLを表示してしまうセキュリティ上よろしくない仕様のメーラーを使っていて、尚かつ、IEを使っていると場合によってはコロッと騙されてしまう可能性があるとのこと。ただ、よく見てみると、最初から「セキュア（SSL）」が選択されているのだが、確かYahoo!のDefaultは「標準」だったと思うのだが。この辺が嘘かホントかの見分けとして役に立つかもしれない。だって、アドレスは"S"付いてないでしょ。