URLが正しくてもフィッシング詐欺の可能性がある

個人も企業も問わず、ネットを介したいわゆるフィッシング詐欺の被害が広がっているようです。

「迷惑メールやSNSのメッセージに記載された、詐欺ページへのリンクはクリックしない開かない」は基本的な対処方法ですが、万が一クリックして詐欺ページへアクセスした場合でも、ページのURLが怪しいものであればそこで画面を閉じ一難を免れることができるかもしれません。

しかし最近は「URLが正しい詐欺ページ」が登場しているという驚きのニュースが。

（日経xTECH 日経BP専門誌から） ブラウザーの中に偽ブラウザー: 日本経済新聞

ポイントはブラウザが表示するポップアップウインドウ。当該の詐欺ページでは、IDやパスワードを入力させる際に、ブラウザ内にポップアップウインドウを表示させて入力させるそうです。

詐欺ページは悪意のあるユーザーが作成したページなので、ポップアップウインドウに表示させたページのURL自体も「正しく見える」よう加工が可能。なるほど悪い意味でよく考えられた仕掛けですし、これだと「URLが正しそうだから大丈夫」と思い安心してIDやパスワードを入力してしまうユーザーがいても不思議ではないかもしれません。

対策はポップアップウインドウをブラウザ外にドラッグできるか否か試してみること

一見防ぎようのないように見えるこの仕掛けですが、日経の記事で紹介されている対策は、画面に表示されたポップアップウインドウをブラウザの外までドラッグして移動できるかどうかで見破れるそうです。

詐欺ページのポップアップウインドウはサイトの一部として擬似的に作られたウインドウなので、詐欺ページの外へは移動できない仕組みになっているそうです。

逆に本物のログイン画面で表示されるポップアップウインドウであれば、ページの外にまでドラッグできる（本物のウインドウ）ということになります。

またそもそもとして、詐欺ページ自体のURLはやはり通常のURLとは異なるはずなので、アクセス時にURLが正しいかを確認することがやはり大切だそうです。

日々巧妙になるフィッシング詐欺の手口。可能な範囲でどういうことに気をつけたらいいか、新しい情報含め心がけておきたいところです。