銀行系のフィッシングサイトの被害状況が明らかになるにつれ、多くの金融機関がネットバンキングでの操作について警鐘を鳴らしていますが、そのなかのひとつ、楽天銀行でも同じように警告されています。
ポピュラーな手法としては、通常の画面でログインをさせた後、偽の画面を表示させることで、合言葉や第二暗証番号などを入力させようとするものです。
これらの画面が表示されている段階で、もうすでにIDやパスワードは漏れているわけですけれども、なぜ合言葉や第二暗証番号まで奪おうとしているのかといえば、アカウントを完全に乗っ取ってしまいたいからです。
いつの間にかこっそりとメールアドレスごと変更しておけば、発覚が遅れるというメリットもあってのことですが、登録しているメールアドレスを変更しようとする場合、合言葉やパスワードなどを入力しなければ変更作業が完了しないケースが多いため、このような「一括してあらゆる情報を入力させてゴッソリ抜き取る」ためのフィッシングページを設けるようです。
また、実際に振り込み作業を行おうとした場合、あらかじめ登録しておいたメールアドレスにワンタイムパスワードが送られてくる銀行もありますし、第二暗証番号を入力しないと振り込みが完了しない銀行もありますので、ログインするためのIDやパスワードだけでなく、すべてのヒントや合言葉、パスワードを全部奪取してしまうために、あらゆる情報を一括して入力させるフォームを表示させるようです。
さて、楽天銀行にログインしようとすると、下記のような画面が表示されますが、いまひとつ警告内容が分かりにくいですよね・・・。
というのは、楽天銀行場合、正常にセキュアな状況でログインした場合でも、合言葉の入力を求められることがあるからです。
こんな感じの画面ですが、
この画面の直前に「「合言葉」と「暗証番号」などを同時入力させようとしてくると危険」といった画面を見せられると、正常な入力画面でも、「これはフィッシングページなのか?」とビビってしまいます・・・。
というのは、ざっと読んだだけでは、「ログインしたと同時に、何かしらの情報入力を求めらると危険だ」とも思えてしまうからです。
そんなわけで、ログイン直後にさらに入力画面が表示されるだけでも、ドキッとしてしまいます。
実際には、「何かしらのパスワード系情報を、1つのフォームから2つ同時に入力させようとしてくる場合が危険」ということが言いたいのだと思いますが、非常に紛らわしい書き方ではないかと思います。
いまのところは、ログイン画面に怪しい表示などはされたことがありませんが、こうした被害は利用者側の落ち度を追及され、保障されないことが多いと聞きますので、みなさんもぜひ気をつけてくださいませ。