「ソーシャル・エンジニアリング」から「知らないうちに」ということで、一層脅威が増してきたようです。脆弱性を指摘されたにも関わらず2割ものサーバが放置しているのが氷山の一角であるような状況では、加害者になるサーバは山のようにあり、被害が一気に広がるような可能性があります。
「フィッシングは『ユーザーをだます手口』から『知らないうちに盗む手口』へ」――APWG : IT Pro ニュース
ステルス型の具体例として,Cassidy氏は,「Stawin」と呼ばれるキー・ロガー(「トロイの木馬」に分類される場合もある)の変種を使ったフィッシングを紹介する。まず,不特定多数のユーザーに,実在する企業を送信者とする「注文確認メール」を送信する。そのメールの中には,細工を施した偽サイトへのURLが書かれている。そのサイトのWebページには,ブラウザのセキュリティ・ホールを突いてStawinをダウンロードおよび実行させるようなスクリプトが書かれている。セキュリティ対策を施していないパソコンでアクセスした場合には,知らないうちにStawinを埋め込まれ,重要な情報を盗まれることになる。具体的には,ある特定の銀行サイトにアクセスしているときのキー入力をすべて盗むという。
