スパムコレクション(12)”偽”ブラウザ・イン・ザ・ブラウザ【たまプラビジネス余談放談】20220513
スパムメール新手シリーズ。すでに(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)(11)でご紹介しているが、
スパムコレクション(5)なりすましヨドバシ(はてな記事 2334)
いつもこのスパムの注意喚起ネタでは最後のほうで紹介している”「URLに注意せよ」対策”だが、ここで紹介するこの手法だとアドレスを見ただけだと騙される。この手法では、スパムサイトの画面に重ねて本物のアドレスだけ表示したサイトを表示しているからだ。ブラウザの中にブラウザに似せたポップアップを表示してその中に本物を装ってウソの(この場合アドレスは本物だが実際には意味がない)アドレスを表示していて利用者に本物と間違わせる方法が紹介されている。
この手法が登場するのは、ソーシャルログインのケース。新しいサイトにアクセスを許可するアカウント登録の際に、既存のソーシャルメディアのアカウントを利用できるパターンがある。新規アカウントを登録しないで、facebookやGoogleアカウントを使ってアクセスできるよと謳っているケースがあるタイプのアカウント登録だ。新たにアカウントを作らなくていいのでそちらに行きがちだが、この場合は要注意。表示されたWindowが偽物の場合がある。
見分け方は、そのWindowを移動してみて、元のWindowの外に出られなければそれは偽Window。ブラウザ・イン・ザ・ブラウザだ。ブラウザが表示する(偽の)ブラウザだ。
対策は、毎回おなじみの繰り返しだが、サイトへのアクセスはメールからのリンクではなく、検索あるいはURLを入力して行おう。リンクを辿らず、検索して正規のサイトを見てみると、たとえば「えきねっと」ではスパムメールへの警告が掲載されているのですぐわかる。そして今回一つ追加。入力しようとしているブラウザが、ブラウザを移動させてみて、ブラウザの外にまで動かせるかどうか。「ブラウザ・イン・ザ・ブラウザ」でないか。地道にチェックを続けておこう。