フィッシングについてのおさらい。

久しぶりに見慣れた日本の銀行のサイトをターゲットにしたフィッシングメールを受け取った。
まぁ英語だし日本のユーザーは騙されやしないだろうが一応おさらい。ユーザーとして、だけじゃなくサービスを企画する側の立場としても気をつけることもあわせて。

* とはいってもやはりメールやフォームから問い合わせが出来ないのは不便だ。せっかくの情報を通知するにも方法がない (電話して番号押して...ってどこまで必要か? やっぱりフォーム位必要だ)

*拡大画像に番号を振っています。

1. Fromは簡単に偽装できるので (S/MIME等の安全な方法の(且つメールソフトが警告を出さない)メールでない場合は) 信用しない。
2. Replay-To:が別ドメインになっている。疑わしさ満点。
   サービスを企画・提供する時も同じことをしないようにね。
3. リンク先は正しいドメインを指しているように見えるが実際のリンク先は別の場所になっている。そもそもHTMLメールなのでリンク先として表示されているアドレスはあてにできない。マウスポインタを持っていくとこんな感じで表示されるので間違ってもこんなアドレス踏まないように。
4. 別に©2007になっていたら安心出来るわけではないが何で2001なんだろう...って実際のサイトもそうなっているんだね。

* ところで何で新生銀行のサイトのドメインは www.shinseibank.com なんだろう? 「co.jp」ドメインを使うこと、そして「しつこいくらいに」ドメインを周知することこそ重要なのに。

1. で実際にページを表示すると (良い子はページに行ったりしちゃ駄目) このような画面となり、アドレスバーを見ると別のサーバーへ誘導されていることがわかる。そもそもHTTPSじゃない時点でアウト。間違っても情報を入力したりしないこと。

ページはきちんとデザインされているがそんなことに騙されてはならない。本物をコピーペーストすれば「まんま」のページがすぐにできるのだから。

で、注意喚起等の情報がないかどうかサイトに行って確認する。7月12日13時の時点ではインフォメーションが無い(英語版サイトにもない)。11日時点でウェブ上では報告が上がっているから、このあたりの対応は迅速に行う必要があるかと (元々が掲載情報に多くのチェックが必要で時間のかかる業種こそ体制と事前の手順化がなされていないと素早い対応は無理だ)。

*今見ると注意喚起が掲載されている。しかもアドレスバーの無いポップアップウィンドウだ!

ところで「フィッシング詐欺」への注意喚起は今やどこのウェブサイトでも行っているが、注意喚起のページの中でアドレスバーなしのポップアップウィンドウを使っているところがあって"これはイタイ"。

インターネットバンキングだけじゃなく、ウェブサイト内で一貫して「安心出来るユーザー体験」を提供することを考えなければ啓発しても意味がなくなる。*

*口座開設でもあるなぁ。このパターン(アドレスバーなしポップアップ)。せっかくhttps〜なのに意味がない。

制作者は気をつけられたし。制作者がちゃんとしないとこんなわけのわからないことを書かれてこっちまで不快になるのでね。

この件に言及している他サイトのエントリー

• FreeBSD で仕事してた人の日記 - 新生銀行を騙ったフィッシングメール
• AKI ON WEB: 新生銀行トルコ支店？