正規のPayPalサイトでフィッシング、個人情報流出
詐欺に使われたURLは正規のPayPalサイト上でホスティングされ、有効なSSL認証でユーザーを信頼させていた。PayPalでは脆弱性に対処済みだという。 フィッシング対策ツールバーを提供するNetcraftによれば、米eBay傘下の決済サービスPayPalサイトの脆弱性が悪用され、クレジットカード番号などの個人情報が盗まれていたことが分かった。 詐欺に使われたURLは、正規のPayPalサイト上でホスティングされていたという。SSLを使って情報が暗号化され、有効な256ビットSSL認証を表示して同サイトがPayPalのものであることを確認。しかし実際にはページ内のコンテンツの一部がクロスサイトスクリプティングの手口を使って書き換えられていた。 ユーザーがこのページを訪れると「あなたのアカウントは第三者にアクセスされたため現在利用できません」というメッセージが表示された後、外部のサーバにリ
フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト:ITpro
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
