【日經BP社報導】最近出現了使用彈出視窗偽裝Internet Explorer（IE）位址欄的網頁仿冒（Phishing）——這是反欺詐業界團體“Anti-Phishing Working Group”當地時間11月1日發出的警告（英文）。實際上，本刊編輯部就曾收到過被誘往假冒網站的郵件，美國花旗銀行也於10月25日就使用同樣伎倆的欺詐發出警告（英文）。

　　如果點擊郵件中的鏈結，就會被引誘到偽裝成美國花旗銀行的假冒網站。假冒網站會顯示位址欄記有花旗銀行正式URL（ https://web.da-us.Citibank.com/cgi-...ogin2/login.jsp ）的彈出視窗，假冒網站的真實URL則被隱藏起來（點擊放大照片）。

　　使用彈出視窗（JavaScript的“window.createPopup()”方法）偽裝螢幕顯示的方法本身並不新鮮。2004年7月就作為偽裝IE對話方塊的方法之一被發現。現在出現的網頁仿冒只是利用了這一方法而已。

　　正如相關報導（日文）所述，即使是Windows XP SP2，一個網頁也允許出現一個由window.createPopup()建立的彈出視窗。因此就算是XP SP2環境也有可能被欺詐。

　　雖然將活動腳本設為無效，就不會打開彈出視窗、可以防止上當，但這樣會導致多數網站無法完整顯示畫面，或無法接收服務。比如在筆者的系統（Windows 2000＋IE 6）中將活動腳本設為無效後，訪問美國花旗銀行的正式網頁（ https://web.da-us.Citibank.com/cgi-...ogin2/login.jsp ）時就無法顯示完整的頁面。

　　網頁仿冒的手段越來越高明了，在這種形勢下，建議採取以下各種措施來防止中招，如“不要在被郵件誘往的Web網頁中輸入重要資訊”、“為了弄清鏈結位址，以文本形式顯示所有郵件（不顯示HTML郵件）”、“輸入重要的資訊時，在確認表示正在進行SSL通信的‘鎖定記號’的同時，點擊鎖定記號檢查數位證書內容（因為鎖定記號有可能被偽裝，因此只有鎖定記號是不可靠的）”、“用網頁‘屬性’來確認URL”等。

　　雖然不能懷疑一切，但現在已經到了“眼見”並不為實的地步，因此務必多加小心。另外，多數情況下被“做手腳”的物件是IE（以及利用IE的郵件軟體），因此使用除IE之外的流覽器（不使用IE的郵件軟體）也算是一種防範措施。不過，在其他流覽器中也發現了允許偽裝的安全漏洞。總之，切忌過於相信一切！

　　Web網站的開發人員與管理員也要引起重視，最好能製作“即使將活動腳本設為無效，也能提供最低限度的必要服務”、“準確顯示位址欄與狀態欄”、“不使用框架與彈出視窗”這樣的網站，令網頁仿冒無法假冒（參閱本站報導）。（記者：勝村 幸博）