• はてなブックマーク
  • テクノロジー
  • こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】
  • Twitterでシェア
  • Facebookでシェア

こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
832 usersがブックマーク コメント149
    共有

    • 記事へのコメント149

    • 注目コメント
    • 新着コメント
    その他
    nmcli
    nmcli 言ってることが分かるように、すこし簡単な URL 作ってみた https://www.google.co.jp:[email protected] さあ、どのサイトに飛ばされるでしょうか

    2024/08/30 リンク

    その他
    ropponzo
    ropponzo スラッシュっぽい文字ってたくさんあるんだな。 https://qiita.com/yuji38kwmt/items/c5eadf0700774ac22057

    2024/08/30 リンク

    その他
    crybb
    crybb こーいうのこそ機械的に「あ、これ偽スラッシュ使ってるっすよw」って教えて欲しいわねエーアイ君に

    2024/08/30 リンク

    その他
    hibiki0358
    hibiki0358 いや、ホンマにもう…使い古された言葉やけど【この熱心さを正しい方向に使えば】やなぁ/この記事の1番大事なところは“ともかく、メールは基本的に 信用できないものとして扱うべき です。”ですな

    2024/08/30 リンク

    その他
    sutego386
    sutego386 URLの頭にBasic認証のIDとPWつけるの懐かしい、それにしてもよく考えるなぁ、素直に感心する

    2024/08/30 リンク

    その他
    lainof
    lainof マウスカーソルを合わせて左下に表示されるドメインは偽装されなくない?トップコメのリンクもyahooだってすぐ分かる。

    2024/08/30 リンク

    その他
    urandom
    urandom あらゆる文字や記号を収録しようという今の Unicode は URI の策定当時には想定されていなかったものだよなあ。

    2024/08/30 リンク

    その他
    lenhai
    lenhai こんな感じか?→「https://b.hatena.ne.jp⧸q⧸ロリ:@%77%77%77%2e%67%6f%6f%67%6c%65%2e%63%6f%6d/%73%65%61%72%63%68?%71=%e3%82%b7%e3%83%a7%e3%82%bf 」うーん、はてブWEB版だと自動リンクがスラッシュに似た文字(U+29F8)を含まないか。アプリ版だと含むが

    2024/08/30 リンク

    その他
    jun_cham
    jun_cham もう親とか老人にはメールアドレス持たせちゃいけない時代来てるのかもね…。

    2024/08/30 リンク

    その他
    REV
    REV 警察からの電話→掛けなおせ やってきたメール → サービスのフロントからアクセスしなおせ

    2024/08/30 リンク

    その他
    uzuky
    uzuky そこの ⁄ はURLエンコードされるので、デコードしないようにするかBASIC認証を無効にするかが現実的かなあ ⁄ クリックしたら攻撃のリスク跳ね上がるし、メールアドレスごとに一意のURLが用意されてたらどうすんの

    2024/09/07 リンク

    その他
    ytRino
    ytRino HTMLだってできるのにメールソフトの仕様がおかしいなんてことはないしメールソフトに限らずエンコードしてないURLのリンク化なんてWebにあふれてるわけで・・・

    2024/09/05 リンク

    その他
    MyFavoriteOne
    MyFavoriteOne スラッシュに似たスラッシュじゃないものが入っているテキストがリンクになっていたらそれはメールソフトの仕様がおかしいでしょ。適切にエンコードされてない文字列のユーザ名なんか含むURLをリンクにしちゃだめ

    2024/09/05 リンク

    その他
    gogatsu26
    gogatsu26 このパターンはブラウザで警告出すように対応するしか

    2024/09/04 リンク

    その他
    fumikef
    fumikef 先頭に「ドメイン名+/」があれば間違いないのは確かにその通りだが、そうかースラッシュに似た別の文字なんてあるんだ。

    2024/09/04 リンク

    その他
    ardarim
    ardarim セキュアじゃないから最近は使われないだけでことさら古い形式というわけでもないような。ただ実際使う場面はかなり限定されるのでブラウザ側で毎回セキュリティ警告を挟む動作でもよい気がする。

    2024/09/03 リンク

    その他
    AmaiSaeta
    AmaiSaeta 「アドレスでの判定」がそもそも無理ゲーなので(「貴方」は詳しいかもしれないが一般人はそうではない) | 2005年の時点で既に発見・周知済みの攻撃方法(RFC 3986 Section 7.6)。

    2024/09/03 リンク

    その他
    deep_one
    deep_one そんなのあったな…/中継を明示する記法とかなかったっけ?あれはメールアドレスとかだったか?/アドレス欄を見ろというのは、「情報をサイトに入力する前に」という意味だろう。被害が大きくなるから。

    2024/09/02 リンク

    その他
    call_me_nots
    call_me_nots いや、クリックさすなよ…→“対策としては、クリックしたあとに開かれるWebブラウザーでもちゃんとURLを確認することでしょうか。アドレスバーには真のドメインがわかりやすく表示されているはずです”

    2024/09/02 リンク

    その他
    arajin
    arajin “本来ユーザー名に「スラッシュ」(/)を含めることはできませんが、そこは「スラッシュっぽく見える別の文字」で代用されているようです。これでパッと見、パスワード部分が正規のドメインのように見えてしまう”

    2024/09/01 リンク

    その他
    adsty
    adsty URLにBasic認証のIDとパスワードを埋め込む構文を悪用している。

    2024/08/31 リンク

    その他
    fieldragon
    fieldragon 古いURL形式を使った巧妙な詐欺リンクが増えているらしい。もうメール内のリンクを無防備にクリックするのは危険だな。

    2024/08/31 リンク

    その他
    rryu
    rryu この形式のリンクを使うやつは結構昔からいて、その対策でブラウザで使えなくなって不便になったのだが、今は使えるということなのだろうか。

    2024/08/31 リンク

    その他
    geonoize
    geonoize あー確かにー。見逃すな、これ。慢心だわ。

    2024/08/31 リンク

    その他
    hecaton55
    hecaton55 うーん、そもそも@が入ってるリンクなんて踏みたくないんだが

    2024/08/31 リンク

    その他
    momonga_dash
    momonga_dash なるほど。

    2024/08/31 リンク

    その他
    cl-gaku
    cl-gaku 今でも社内プロキシ通すために結構使うよね/それはそれとして気づけるきはしないな

    2024/08/31 リンク

    その他
    kuippa
    kuippa /(0x2f)に似た文字ってなんだろう?どこぞかの言語かな?

    2024/08/31 リンク

    その他
    kenchan3
    kenchan3 ほむ。そんなのあるんか。これは騙されそう

    2024/08/31 リンク

    その他
    tmtms
    tmtms ブラウザがホスト名とそれより前の文字に非ASCII文字を許さないようにしてくれないかな。パス名やクエリ文字列には許して欲しい。

    2024/08/31 リンク

    その他
    progrhyme
    progrhyme あーなるほど。これは巧妙

    2024/08/31 リンク

    その他
    kiyo_hiko
    kiyo_hiko 「@」を含んだら警戒

    2024/08/31 リンク

    その他
    hive7134
    hive7134 「古いURL形式」なんか?いまだにたまに使うけどなぁ。例えばたしか社内のGitLabからプライベートリポジトリを単純にcloneすると404になるからURLにuser@をつけて認証が効くようにしたりとかしてた気がする。

    2024/08/31 リンク

    その他
    nakab
    nakab 「普通の人はここまで読まない」ではなく、矢印の方向から考えると「ここから読まない」だと思う。

    2024/08/31 リンク

    その他
    circled
    circled 今後ブラウザの機能でURLに@が含まれてると警告出るようになりそうな詐欺URLですね

    2024/08/31 リンク

    その他
    bean_hero
    bean_hero また騙されてダム板に飛ばされるリンクも巧妙に作れそう(違

    2024/08/31 リンク

    その他
    b-wind
    b-wind こういうのをどうにかしてくれるメールソフトを使うべきと言うのと、こういうのをどうにかしなければならないHTMLメールとか言う害悪という感情。

    2024/08/31 リンク

    その他
    shoh8
    shoh8 うわー、これは騙される。人間の脳で判別すべきことじゃないな

    2024/08/31 リンク

    その他
    igni3
    igni3 ユーザ名とパス含ませるの、今でも簡易的な非公開ページ(漏れてもあまり問題ない)をQRコードで案内するときよく使う。パスとユーザ名をスマホで入力させるの辛いので。

    2024/08/31 リンク

    その他
    stealthinu
    stealthinu なんとやじうまの杜でもこの話が取り上げられてたのか。

    2024/08/31 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.