Twitterユーザー名IDとパスワードを盗みとる罠〜Macユーザーもご注意!

spam01.jpg

以前にもTwitterのスパムDM Mobsterworldというゲームサイトに誘導してそのアカウントを踏み台にした迷惑行為の拡散という事例があったが、今回のTwitterアカウントIDとパスワードを盗む手法もユーザー自身が少し意識すれば引っかかることはないと思うので書いておきます。

Twitterのユーザー名とパスワードを狙った攻撃が相次ぐ、Sophosが注意喚起

英Sophosは23日、Twitterのアカウントとパスワードを盗もうとする攻撃が相次いでいるとして、手口の一例を紹介し、ユーザーに注意を呼びかけた。

最近確認された手口は、「面白い写真を見つけた」「あなたに関する悪いブログを見つけた」といったメッセージとともにリンクが貼られているツイートで、このリンク先がフィッシングサイトとなっているもの。リンク先は偽のTwitterサイトとなっており、「セッションがタイムアウトした」と勘違いしたユーザーがユーザー名とパスワードを入力してしまうことを狙っている。

Sophosでは、こうしたサイトにユーザー名とパスワードを入力してしまった場合、攻撃者がTwitterアカウントにアクセスできるようになるだけでなく、同じユーザー名とパスワードを使用している他のサービスにもアクセスされる潜在的な危険があると警告。また、こうしたメッセージを友人から受信した場合には、その友人のアカウントは侵害されており、パスワードを早急に変更する必要があると友人に伝えてほしいとしている。

Yahooニュースよりhttp://headlines.yahoo.co.jp/hl?a=20111024-00000035-impress-inet

IDパスワードを盗むのは手入力の時

MobsterworldのようにwitterのAPI(OAuth)を許可するタイプは大丈夫。

spam03.jpgのサムネール画像

このような画面でTwitter経由でこのサービスを利用する許可を取らせるものはIDやパスワードを盗まれるということは一般的には無いようです。

しかし、今回の呼びかけのある悪質な手法ではTwitterアカウントへのアクセスを許可させる画面でIDやパスワードを直接手入力させるステップが必ず存在するはずだ。

つまり、

TwitterでIDやパスワードを盗まれないためには

ユーザー自身がTwitter経由のサービスを利用する際に

ここでIDとか入れても大丈夫なのか?

ということでブラウザ上のURLなどを確認して欲しい。

OAuthによる認証の場合は統一したtwitter管理のドメイン上で手続きが進むが、詐欺的な要素を含んだステップの場合そのURLがtwitterとは関連しなさそうなURLになっているはずだ。

また、仮にtwitterのIDやパスワードを盗まれた場合

twitterで迷惑行為を受けるだけで問題は収まるのか?と考えるとそうでもない。

盗みとったIDとパスワードの組み合わせを持って

あらゆる金融系のログイン画面やWEBサービスのログイン画面にテストアタックを繰り返されるということも無いとは言えない。

つまりウイルス感染でIDやパスワードを盗まれるのと同様に、オンライン上で詐欺的に騙され手動で打ち込んだ個人情報は予期せぬ悪用をもたらすこともあるということを肝に命じておこう。

もちろん、MacユーザーだけではなくWindowsやスマートフォンiPhoneユーザーもWEBサイトやアプリの使用時には信頼できる発行元なのか注意深く考え、手入力においては同様の注意を心がけたいところです。

タグ

2011年10月24日 | コメントは受け付けていません。 |

カテゴリー:Macウイルス対策

トラックバック&コメント

コメントは受け付けていません。

このページの先頭へ