📅 2014/03/15 | ✏️ Firefly

Apple IDアカウントとパスワード盗む偽ページフィッシングサイト実例

Apple IDアカウントとパスワード盗む偽ページフィッシングサイト実例

Apple inc. のアカウント管理サービス My Apple ID を盗みとることが目的の不正な フィッシングサイト へ突撃訪問してみましたー。

＜Apple IDとパスワードの入力欄と[Sign in]ボタン

偽Appleログインページ
パッと見の見た目では不自然なことに気づけない！

My Apple ID
Sign in to manage
your Apple ID.
To view and edit your Apple ID account information, please sign in. If you don't have an Apple ID, you can create one now.
S｛ign in.｝

ただ、ブラウザに表示される見た目は、本家 Apple Inc. のロゴマークなどの画像ファイルといったデザインごとパクってきて詐欺サイトを構築してるので、”如何にもログインページ”になってます。

■ フィッシングサイトの見分け方

ホンモノのAppleログインページはココ！
appleid.apple.com

ブラウザのアドレスバーに表示されるURLアドレスを確認すると、Apple Inc. でも何でもないフィッシング詐欺狙いの不正なサイトです。

＜鍵（南京錠）マークの表示も確認できず

フィッシング詐欺の手口

フィッシング詐欺はターゲットとなる対象環境を選ばず、ネットに接続しネットサーフィンできる機器であればWindows、Mac、ゲーム機、タブレット端末（iPad）、スマートフォン（iPhone）などを網羅してます。

著名な企業を名乗った成りすましの偽メールがまず届き、パスワードの変更を促すなどして、メール本文中のURLアドレスをクリックで踏ませて、狙いの偽ページヘ誘導するのが鉄板でしょう。

○ フィッシングサイトの実例画像で攻撃手口や偽ページの見分け方が分かる

フィッシング詐欺サイトが、ハッキングされてる正規サイトのサーバー上に設置されてしまってるパターンもあって、セキュリティ製品のブラックリストになるたけ補足されないよう攻撃者も努力も見られます。

■ Apple ID：セキュリティと Apple ID - Apple サポート
https://support.apple.com/ja-jp/HT201303

JS/Facelikerとは? Facebookいいね!をコッソリ実行するスクリプトウイルスではなし！

JS/Facelikerとは? Facebookいいね!をコッソリ実行するスクリプトウイルスではなし！

日本でも知られてるソーシャルネットワークサービス Facebook（フェースブック） には、いろんなコンテンツに対して ”好き” や ”支持” を表明できる「いいね！」「LIKE」の機能があります。

「いいね！」をハイジャック？

この「いいね！」ボタンを押す処理をユーザーの意図することなくコッソリ実行する不正な JavaScript コードというのが存在し、それがインターネット上にページに仕掛けられてることがあるようです。

Likeジャッキング攻撃!?

そのような攻撃手法をセキュリティ用語では次のように呼びます。

Likeジャッキング（likejacking）
クリックジャッキング（clickjacking）

■ Likeジャッキングとは、Facebookにおいて、何らかの不正な操作によってユーザーをだまし、ユーザーが本来意図しない「Like」（いいね！ボタン）のクリック操作をさせることである。
http://ejje.weblio.jp/content/Likejacking

Likeジャッキングがいちおう影響しうる条件は？

インターネットに接続してネットサーフィンする環境
Windows、Mac、Android、iOS など
Facebook に自分のアカウントを保有している
（Facebook に何ら縁がないユーザーは当然ながら関係なし）
ブラウザが Facebook にログインしたままの状態になってる
（Facebook からログアウトしてあるなら影響なし）

セキュリティソフトの検出名

不正な JavaScript コードは、Facebook の「いいね！」の数量を意図的に水増しさせてズルする目的があります。

ちなみに、こんな人海戦術で水増しする業者も存在するとか。

・ フェイスブック「いいね！」捏造工場を発見 24時間体制でクリック - 産経ニュース
https://www.sankei.com/world/news/130808/wor1308080016-n1.html

不正な JavaScript コードを精神衛生上よろしくないということで、セキュリティソフトは脅威として検出することもあります。

【マイクロソフトによる JS/Faceliker 検出名】
TrojanClicker:JS/Faceliker.A TrojanClicker:JS/Faceliker.C TrojanClicker:JS/Faceliker.E TrojanClicker:JS/Faceliker.N TrojanClicker:JS/Faceliker.G TrojanClicker:JS/Faceliker.H TrojanClicker:JS/Faceliker.D

☆ その他のセキュリティソフト
Avira JS/Faceliker.H

avast! JS:Autolike-Q [Trj]

AVG JS/Clicker

ESET JS/FBook.NAP

実際に手元で検出した不正な JavaScript のコードは、ベトナム人ユーザーが配布してるシロモノで、Facebook の特定のファンページを「いいね！」するような記述になってました。

「Like Me」なるスクリプト likeme.js

■ JS/Faceliker は「Likeジャッキング」攻撃を行う JavaScript です。「Likeジャッキング」攻撃は、あなたの認識や同意がなく Facebook のコンテンツを「Like」（いいね！）する脅威です。この脅威は悪意のあるサイトや、改ざんされてるサイトで出会います。
https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=JS/Faceliker

この検出名の由来は…

JS → JavaScript のこと
Faceliker → Facebook Liker に由来

…ってことで、普通にネットサーフィンしてる最中に JS/Faceliker といった脅威にいきなり突然ブチ当たるパターンが多いはずです。

検出された場合の対処方法は？

Windows、Mac、Android、iOS など端末そのものに損害を与える脅威でもなく、「ウイルス」「スパイウェア」に感染したワケではありません。

心配なら、使用するブラウザの 一時ファイル（キャッシュ） を削除すりゃ OK！

IE11
https://support.microsoft.com/ja-jp/help/260897
Microsoft Edge
https://support.microsoft.com/ja-jp/help/10607
Google Chrome
https://support.google.com/accounts/answer/32050
Mozilla Firefox
http://mzl.la/18byRQJ

なお、 JS/Faceliker の検出名でググると、導入する価値のない迷惑ソフト SpyHunter 5、Reimage らへんを騙してインストールするよう仕向ける 詐欺サイト が結構ヒットするのでご注意を。

【詐欺サイト例】
completepcthreatremoval.blogspot[.]com
remove-pcvirus.virusremoval-tool[.]net
spywareremoval.malware-protection[.]net
cleanspyware.vir.us[.]com
how2remove-virus[.]com/jp
removemalware.trojan-protection[.]com

<2018年10月追記...>

McAfee のセキュリティ製品が SNS 共有ボタン AddThis の無害なスクリプトを「JS/Faceliker.ag」という脅威で 誤検出 するトラブルを起こしたみたいで。