web-dev-qa-db-ja.com

偽のWebサイトから正当なWebサイトにリダイレクトされた場合、詐欺師はどのようにデータをスキャンできますか?

Travel StackExchangeで このコメント から この質問 から。

私の質問は次のとおりです。ユーザーが偽のサイトからリダイレクトされた後、legitimateサイトにアカウントを登録するときに、詐欺師はまだユーザーのデータをスキャンできますか?

それでは、 homeaway-eu.com にアクセスするとします。次に homeaway.com にリダイレクトされます。データを入力した後、家を検索して予約します。詐欺師は、支払い情報や連絡先情報など、入力したこの情報をどのように取得できますか?

編集:以下の回答は、上記でリンクした質問の観点からのものであると思います。私の質問は、私が書いた仮定についてであり、Travel StackExchangeからの正確なケースではありません。

1
Snow

そのコメントと質問を正しく理解すると、シナリオは次のようになります。

  • 正当なドメインhomeaway.comがあります
  • おそらく悪意のあるパーティーhomeaway-eu.comによって登録されたサイトがあります
  • 質問の時、homeaway-euは単にhomeaway.comへのリダイレクトでした
  • ブラウザーを開いて "homeaway-eu.com"にアクセスすると攻撃者をどのように助けることができるかを具体的に質問します。そうすることで、正当なhomeaway.comにすぐに到達することになります。

正当なhoweaway.comに入力する情報は、攻撃者がアクセスできないようにする必要があります。正当なサイトへのリダイレクトがあると、正当なサイトで入力されたデータに悪意のあるものは許可されません。しかしながら:

  • 将来、攻撃者のイブがhomeaway-eu.comにデータ入力フォームを設定した場合、データをhomeaway.comに送信すると、データを収集できます。特にユーザーが実際のサイトではなくhomeaway-eu.comにアクセスすることに慣れている場合は、悪意のあるドメインが実際のドメインにサブミットするため、ユーザーは気付かないこともあります。
  • リンクしたコメントが示すように、Eveは[email protected]としてメールの送信を開始できます。 howeaway-eu.comにアクセスすると予想されるサイトに移動するので、ユーザーは不審ではない可能性があります。アドレスのなりすましは含まれていないため、これを検出することは基本的に不可能です。 Eveプロバイダーに関する限り、Eveは自分が所有する正当なドメインを持っていますが、それはたまたま(人間にとって)完全に異なるドメインに似ています。これは、ソーシャルエンジニアリングやフィッシングに役立ちます。
  • Eveが悪用可能なブラウザーのバグについて知っている場合、彼女は実際のサイトにリダイレクトする前に、自分のサイトにアクセスしたユーザーに「ドライブバイ」攻撃を簡単に設定できます。ユーザーは正しいサイトにたどり着くので、賢明ではありません。
  • イブが将来の攻撃のためにIPアドレスのみを収集している場合(または召喚状、イブが政府機関で働いていて、「正当な」Webサイト自体が疑わしいことが判明した場合)、リダイレクトWebページだけでこのタスクを実行できます。追加のアクションは必要ありません。
  • おそらく、リダイレクトサイトは特定のIPアドレスまたは範囲に反応するか、特定のトラッキングCookieを探し、それに基づいて別のことを行います。

おそらく私が逃したよりもっとあります。一般に、攻撃者が所有するWebページにアクセスすることは、それがどんなに無害であっても、良い考えではありません。

1
Ben

プロセスは簡単です。デモのために、ドメインlegit.comおよびevil.comを使用します。実際のシナリオでは、おそらくlegit.com1egit.comのようなものが表示されます。

  1. 詐欺師はドメインevil.comを設定し、legit.comのデザインをミラーリングします
  2. その後、詐欺師は潜在的な被害者を自分のサイトに誘導します。
  3. 被害者はevil.comに新しいアカウントを登録します
  4. これで詐欺師は被害者のログイン資格情報を取得し、その資格情報を使用して被害者の名前で新しいアカウントを登録します。
  5. その後、詐欺師は被害者をlegit.comにリダイレクトします。
  6. 被害者はlegit.comで登録に関するメールを受信します。被害者にとっては、これはまったく問題ないようです。
  7. 被害者はlegit.comから何かを購入するために支払いの詳細を入力します
  8. 被害者のアカウントにアクセスできる詐欺師は、新しい購入が行われたことを確認し、legit.comが露出している場合、被害者から支払い情報を取得できます。
  9. (オプション)legit.comが支払い情報を公開しない場合、詐欺師はカスタマーサービスに連絡して、被害者であると主張し、支援を求めることができます。詐欺師は、購入に使用されたクレジットカードがわからないと主張することができ、カスタマーサポートは、データを保護するのではなく、お客様を支援するように指示されています。
0
MechMK1

インターネット上のフォームに入力すると、ブラウザは、POSTリクエストと呼ばれる、サーバーに情報を送信することを意味するリクエストを送信しました。POSTリクエストが行われますサーバー上の特定のスクリプトにリンクし、スクリプトのURLをHTMLコードに直接埋め込みます。

したがって、攻撃者がWebサイトのコピーを作成した場合、HTMLを変更して、正当なサーバーではなくサーバーに情報を送信するようにブラウザーに指示することができます。

これで、攻撃者は資格情報などの情報を入手し、正当なWebサイトにリダイレクトしてログに記録できるようになり、すべてが問題なく行われたように見えます。

このため、たとえHTTPSであっても、自分がアクセスしているURLを常に確認する必要があります。

0
Pierre G.