-
「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される 2022年03月22日ウェブサービスの中には、サインインの際にGoogleやFacebookといった他サービスのアカウントを用いる「OAuth認証」が可能なものも存在しています。
このOAuth認証ページを模倣することでパスワードやIDを盗み出す手口が考案されました。OAuth認証は、他のウェブサービスの登録情報を利用してウェブサービスへのサインインを可能とするものです。
(しかし)、このような偽物(画像参照↓)のページを偽物のウェブサイトに埋め込むことで、ユーザーは疑わずに資格情報を入力してしまう可能性があるとのこと。
この手口は過去にSteamの資格情報を盗もうとするフィッシングサイトで用いられたことも確認されています。mr.d0x氏(この件を報告した人物)はこの手口を「Browser In The Browser(BITB)攻撃」と名付け、
「わずかな違いに気付く人はほとんどおらず、基本的に本物と区別できなくなります」と述べています。 -
オリジナルソース
Browser In The Browser (BITB) Attack | mr.d0x
https://mrd0x.com/browser-in-the-browser-phishing-attack/ -
アドレスバー見てもだめか
-
こんなん絶対無理じゃん
-
いや使い回し&自分からIDパス全渡しとかバカ以外に引っかかるか?
-
フィッシングの類か
-
何でurl同じなん
-
>>7
元解説によると、URLバーや閉じるボタン最大化ボタンも含めて描画した新規のポップアップウィンドウを作ってる
OAuth認証が大体新規ウィンドウで開くのを真似てるんだね
怪しいサイトに行かない、リンクを開かないを徹底すればそもそもこんな新規ウィンドウが作られることもないけどねしかしgigazineは相変わらず重要なことを書かねーな
-
>>19
要は、絵じゃん…
ってことか -
>>19
そういうことかよ
すごい発想だ -
真面目な話URL見る癖付けないとこういうの避けきるの不可能ぞ
-
あーここに至るまでの偽サイトがあるってことか
普通のフィッシングやんけ -
この認証使ってる奴おらんだろ
-
>>10
最近のはやりは何なんだ? -
こんなん無理じゃん
-
なぜurlが同じなんだ
-
いや、偽物とかそう言う話じゃないのわかる?
そもそも教えなくていいとこにわざわざ教えるとかゆとりとま●こと年寄りだけだって話だけだからどうでもいいがw -
>>14
うんことか食ってそう -
ログイン画面がポップアップしたとみせかけてブラウザの画面ごと真似した偽物をページの上に表示するんだとさ
馬鹿らしい手口だがまぁ引っかかるだろうな -
URLで見抜けなくね?
どうやって見抜くん? -
>>16
しょうがないにゃあ…… -
ドメイン偽装ってどうやんの?
-
ブラウザにパス覚えさせてるから逆に安全だわ
Yahoo, Microsoft, Facebookとか登録済みのはずなのにオートコンプリートされないのはURLが怪しいはず -
そういや大手は新しくウィンドウ開いて認証が多いような
リダイレクトじゃダメなん? -
一応毎回証明書まで確認してる
-
win+tabとかexposeで本物のウインドウかチェックしない限りわからんってことか
-
OAuth
おーおうすって言うの?
-
でもこれしょうもない広告で昔からやってるやついたよな
ストレージの残り容量がありませんみたいなシステムポップアップっぽいデザインのバナー -
>>28
割れDLサイトのあれなw -
どう考えてもこんなの使うのは情弱
-
fishingじゃないのか…
-
Googleアカウントでログインする
新規アカウントをメールアドレスで作るこう選択肢があったら迷わずメアドで作るわ
どこでどう漏れるか分からんから
嫌儲
オフィスビルの設備管理 24時間勤務(仮眠6h、休憩2h)未経験・月給28万円以上 悪くない気がする
コメント