詐欺師がリファラーリンクのみをリッスンし、他のアクセス方法をブロックしている場合、どのようにして仲介者としてフィッシングサイトが有効かどうかを確認できますか？

はい、これは本当の問題であり、実際にそれを観察しました。

クラウドベースの悪意のあるサイトの検出システムが普及するにつれて、そのような検出システムには見えない、標的を絞った攻撃の対応する増加が予想されます。

この種のものは.htaccessペイロードディレクトリのファイル。

HTTPリファラー

リファラーリンクによるアクセスの制限（HTTP仕様では「リファラー」と誤記）は、リファラーが存在しないため（攻撃者がリダイレクターサービスを使用してリダイレクターサービスを使用しない限り）、フィッシングメールでは機能しませんが、 書き換えルール ：

RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
RewriteRule "^"               "-"                [F,NC]

クライアントIPによるアクセスの制限

IPでアクセスを制限する の別の例を次に示します。

Require ip 127 172.16.0.0/12 

これは、現在のディレクトリ（およびすべてのサブディレクトリ）が403: Forbidden localhost（127.0.0.0/8）または特定のプライベートLAN IPスペースにない接続IPに。たとえば、攻撃者は領域のIP範囲を調べて、明示的に要求する可能性があります。

検出システムのIP範囲がわかっている場合は、それを元に戻すことができます。

# prevent access from these CIDRs
Require not ip 198.51.100.0/24 203.0.113.32/28

ソリューション

詐欺師がリファラーリンクのみをリッスンし、他のアクセス方法をブロックしている場合、どのようにして仲介者としてフィッシングサイトが有効かどうかを確認できますか？

被害者のように見えるように、できる限りのことをする必要があります。想定されるターゲットリージョンでVPNにアクセスできる場合は、それを使用してください。攻撃の標的がわからない場合は、推測する必要があります。

IPアドレスの偽造は困難ですが、HTTPリファラーとして必要なものを入力するのを妨げるものは何もありません。それは単なるヘッダーです。推測する必要がある場合は、アクセスしようとしているのと同じページを試してください。これは、コンテンツの直接ホットリンクを防止しようとするほとんどの画像ホスティングサイトで少なくとも機能します。