フィッシング攻撃がブラウザの自動入力とパスワードマネージャーから個人情報を盗む

私たちは皆、新しいサービスにサインアップしたり、オンラインショッピングをしたりするために繰り返し必要な個人情報を入力するためにブラウザの自動入力機能を使用しています。この自動入力機能は私たちの必要性から生まれたものですが、最近（かなり前から）ブラウザがフィッシャーにあなたの情報を渡している可能性があることが発見されました。残念ながら、異なるサイトのために強力なパスワードを生成し、同じものを保存するために使用するツールであるパスワードマネージャーにも同じことが当てはまります。

フィンランドのウェブ開発者でありハッカーであるヴィルヤミ・クオスマネンは、Chrome、AppleのSafari、Opera、LastPassのようなユーティリティツールを含むいくつかのブラウザが、ユーザーのプロフィールにリンクされた自動入力システムから取得した個人情報を渡すようにだまされることを発見しました。

この攻撃は、ユーザーが情報を入力する際に、他のボックスに自動入力が他の情報を入力するようにユーザーをだますことに依存しています。ここで起こることは、ユーザーが基本的な情報だけを提供しようとする際に、フィッシャーが自動入力によって保存されたすべての情報を手に入れることです。言うまでもなく、フィッシャーはクレジットカード情報、郵送先住所、ユーザーがサインアップした他のサービスを含む他の情報も手に入れることになります。興味がある方は、メールアドレスと名前を入力するように求められますが、送信後には携帯電話番号と生年月日を使用して他の個人情報を表示するデモサイトをチェックできます。

これが私がウェブフォームの自動入力が好きではない理由です。 #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3 — viljami.io 🇺🇸 (@anttiviljami) 2017年1月4日

しかし、Firefoxはこのような攻撃に対して免疫がある唯一のブラウザのようです。なぜなら、まだマルチボックス自動入力システムをサポートしていないため、テキストフィールドをアクティブにせずに他の情報を入力することはできません。フィッシング攻撃は、ユーザーに自動入力を使用して少なくともいくつかの情報を入力させることによってユーザーをだますことに依存しており、その後攻撃者にとっては安全になります。さらに、Google Chromeを含むいくつかのブラウザでは自動入力がデフォルトでオンになっているため、そのような攻撃から自分を守るためにオフにすることが推奨されています。その間に、データを提供する前に注意深いページにも目を光らせてください。