ダーンジャニ氏は、悪質なフィッシングURLのデータベースを保持しているフィッシング対策ブラックリストの弱点も指摘した。これらのURLの中には、管理者のユーザー名とパスワードが公開されているのもあるのだ。このため、攻撃者はブラックリストのデータを使って、侵入を受けたサーバに攻撃を仕掛けることができるという。
「わたしがフィッシャーだとしたら、ブラックリストにアクセスして、侵入を受けたホストのデータを手に入れるだけで済む。侵入されたホストには既にバックドアが仕掛けられているので、ありとあらゆる悪事を働くことができる」とダーンジャニ氏は説明する。
確認されたフィッシングサイトの1つでは、ダーンジャニ氏とリオス氏が偽のユーザー名とパスワードの組み合わせを入力し、データがどこに送信されるのか調べるためにPOSTリクエストを傍受した。
「このデータはゲストブックサイトに送信され、ユーザー名とパスワードが文字列のままで掲載された。そのサイトにアクセスすると、約5万9000件の銀行の認証データが見つかった」とリオス氏は話す。
侵入を受けた別のサーバでは、ディレクトリインデックス作成機能が有効になっていたので、フィッシング用のバックドアが仕掛けられている場所が正確に分かったという。「これを仕掛けた人は、パスワードを設定するのを怠ったのだろう。われわれはバックエンドのPHPスクリプトにアクセスし、彼が何をしているのか見ることができた」。
研究者たちは、PHPスクリプトから収集した情報に基づいてGoogleに検索クエリーを入力し、「金鉱」を掘り当てた。
「クリックしてフィッシングサイトまで行かなくても、Googleの要約データの中に人々の名前、銀行口座番号、PIN番号、母親の旧姓などが表示された。ほんの15分間ほどの操作で、彼らが盗んだデータをすべて見ることができた」とダーンジャニ氏は語る。
同氏は、個人データの販売(完全な個人データは1件15ドル、大量購入の場合は1件当たり15セント)を宣伝しているWebフォーラムや、すぐに使えて簡単に配備できる各種のフィッシングキットを販売しているサイトのスクリーンショットを紹介した。
リオス氏は、ATMスキマー(正規のATMマシンに挿入できるハードウェア)に関する情報も見つけた。これを使えば、磁気ストライプの全データを盗み出せるだけでなく、ATMのキーパッドから入力したデータもすべて保存できるという。
「わたしはATMを使うのをやめた。これらのサイトで怖いものを見たので、異常に神経質になってしまった」(リオス氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.