政府サイトの設定ミスを突いたフィッシング

[ITmedia]

　セキュリティ企業Sophosは11月30日、米内国歳入庁（IRS）を装って「税金を還付する」と称したメールを送り、個人情報を盗もうとするフィッシング詐欺に警告を発した。

　フィッシング詐欺犯は、本物のIRSサイトのセキュリティ設定ミスを利用しているとSophosは指摘している。このミスを利用すると、ビジターを偽サイトにリダイレクトすることができる。

　このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイトで手続きをするようにと受信者に伝えている。より本物らしく見せるため、このメールはメール内のURLを直接クリックするのではなく、ブラウザのアドレスバーにコピー＆ペーストするよう指示している。このURLは本物のIRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。

URLをコピー＆ペーストするよう指示（画像：Sophos）

　偽のサイトではクレジットカード情報、社会保障番号などの個人情報を入力するよう求められる。

IRSを装う偽サイト（画像：Sophos）

　「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、グラハム・クルーリー氏は語る。「残念なことに、このサイトは、フィッシング詐欺犯がビジターをリダイレクトできるように構成されている。詐欺犯はサイトをハッキングする必要はなかった。サイトにずっとこの脆弱性があったのだ」

　Sophosはユーザーに対し、一方的に送られてきたメールには注意するよう呼びかけ、この種のオンライン詐欺から身を守る方法を公開している。