トレンドマイクロは3月24日、公式ブログで「『ダミーの正規サイト』で検出回避を試みるフィッシング詐欺手口を解説」と題する記事を公開しました。一般企業が運営するサイトのように見せかけ、フィッシングサイトを設置する新たな手口が確認されたとのことです。
今回確認されている手口では、プロバイダからのメールに偽装したフィッシングメールを受け取るところから始まっていました。メール内のリンクをクリックすると、あるドメイン上に作成されたページに誘導されます。このページは電子メールシステムのログイン画面のようになっていますが偽の画面です。
ここまでは一般的なフィッシングの手口と同じです。しかし、確認のためにそのドメインのトップページにアクセスすると、一般企業のようなホームページが表示されます。この点がこれまでのフィッシングの手口とは異なります。
一見一般企業のホームページを装ったこのページは、「表示された画像のブランド名がドメインと一致しない」、「珍しいTLD(トップレベルドメイン)である『.pro』が使用されている(一般的なTLDである.com、.net、.jpよりも安価で利用可能)」、「テンプレートに含まれるダミー文章の定型文に似た残骸がサイト上で確認できた」、「ドメインが登録されてから1年経っていない(不正ドメインは短期間内に登録されている場合が多い)」など不審な点が多く、偽のコンテンツと判断されました。
図:WordPress テーマのテンプレートがそのまま使われていた偽の企業ホームページ