では、実際に行われているURLの偽装方法について解説していきます。
■URLに@を使うことで、別サイトへリダイレクトさせる
作成されたURL内に@が入っていると、@より前に入力された情報が無効な場合に、@以降に入力されたサイトURLへのリダイレクトが行われる機能があります。
この機能を悪用し、本物に見せかけたサイトアドレスの後ろに、@とともに誘導したいアドレスを入力しておくという方法です。
■IPアドレスの代わりに数字を入れてごまかす
サイトの住所でもあるIPアドレスを整数に変換し、URLに仕込むことで接続先が分かりづらくなるようにする方法です。全体的に数字を多くして、サイトの付属情報のように見せることで、「どのサイトに繋がるのか」をわかりにくい状態にします。
■URL短縮サービスで見ただけではわからないようにする
長すぎるURLをより見やすく短縮するためのサービスがありますが、短縮すると本来のURLは表示されません。
そのため、偽サイトのURLを短縮して記載することで、URLを見ただけでは「どこのサイトにつながるのか」をわからなくするという方法があります。
■Googleアクセラレーテッド・モバイルページ(AMP)を悪用
こちらはモバイルページをより高速に表示するための技術ですが、AMPを使用するとURLにGoogleという単語が含まれるようになります。そのため、フィッシング対策用セキュリティがGoogle関連のサイトであると誤認してしまい、セキュリティーをすり抜けてしまうことがあります。
■中国最大の検索サイト(百度)を使って偽装
百度という検索サイトでは、検索結果ページにサイト本来のURLは表示されず、百度専用のURLが表示される仕組みになっています。
この特徴を利用して、誘導先の偽サイトを百度で検索し、表示された百度専用のURLをリンク先として記載するという偽装方法です。