• http://internet.watch.impress.co.jp/cda/news/2004/11/17/5452.html

今回のフィッシングでは、手口が悪質化している。JavaScriptを悪用し、アドレスバーには正規のYahoo! JAPANのURLを表示したままで、Webページ部分だけを偽のページに置き換えているという。このため、URLから正規のサイトかどうかを判断することができない。しかも、このページにジャンプする前にYahoo! JAPAN IDが抜き取られ、偽のログインページのフォームには自分のYahoo! JAPAN IDが入力された状態で表示されるため、あとはパスワードだけを入力すればいいようになっている。一見すると本物のページにしか見えないとしている。

• http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041110/152412/

メール中のリンクをクリックすると，米Citibankに見せかけた偽サイトに誘導される。偽サイトではアドレス・バー上にCitibankの正規のURL（https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp）を記述したポップアップ・ウインドウが表示されて，偽サイトの本当のURLが隠される（写真の拡大表示）。
　ポップアップ・ウインドウ（JavaScriptの「window.createPopup()」メソッド）を使って画面表示を偽装する方法自体は新しいものではない。IEのダイアログ表示を偽装する方法の一つとして，2004年7月に報告されている（関連記事）。現在出回っているフィッシングは，これを“応用”したものだ。

なるほど。JavaScriptかぁそんな話もあったな。何か繋がった。シンプルでいい(悪い)手法だねぇ(ってもしかして今更？ですか？？)。クリティカルな情報やり取りする時はnetstatとかで何処とセッション張ってるか確認したほうが良いのでしょうか。
あ、簡単な対処法として「とりあえず間違った情報入れてみる」と言うのどうでしょうか。正規なら照合結果でエラーが出るはずだし。なんも無ければ怪しい＆その時のセッションを検証してみるつー方法。駄目かなぁ。