공공·금융·숙박 사칭 사이트 전년대비 40% 이상 급증
“사이트 검사 서비스 활용 및 기업의 주의 공지 필요해”
[보안뉴스 조재호 기자] 최근 유명 금융사를 사칭, 개인정보를 탈취하고 금융 피해를 유도하는 가짜 사이트가 폭증하고 있어 주의가 요구된다.
11일 누리랩은 최근 피싱 사이트가 전년 대비 40% 이상 급증세라고 밝혔다. 지난해 하반기 기준 4731건 발견에서, 올해는 이날 현재 8139건을 기록하고 있다. 특히 공공이나 금융기관, 숙소 예약 사이트로 위장한 피싱 사이트의 증가폭은 두 배 이상을 늘었다.
▲ 신한투자증권 사칭 가짜 사이트. 진짜와 구분 어렵다. [자료: 누리랩]
이 가운데, 누리랩 측이 최근 실제 발생한 ‘신한투자증권 사칭 사이트 사건’을 분석한 자료에 따르면, 이 가짜 사이트는 실제 금융사와 유사한 로고를 전면 배치했다. 주요 메뉴로 ‘해외송금’과 ‘외화 buy&sell’과 같은 서비스를 강조, 방문자를 속였다.
사이트 우측 하단엔 실시간 상담 아이콘을 배치, 신뢰성을 높였다. 보안 인증서나 사업자등록번호 등의 정보를 기재토록 하고, URL도 ‘shinhan’으로 시작하는 등 정상 사이트로 오인하기 쉽다.
가입 양식에선 일반 금융사에서 요구하지 않는 ‘닉네임’과 같은 불필요한 정보를 묻는다. 외화 송금 시엔 외환거래법상 신분 확인이 필요하다는 메시지가 나온다. 이를 통해 개인정보를 부당 수집, 추가 사기 행각에 악용할 가능성이 높다.
또, 상담원과 대화를 시도하면 영어로 ‘현재 오프라인 상태’라는 메시지가 뜬다. 이후 간단한 인사말을 입력하면, 이메일 주소를 요구한다. 이 역시 일반적인 금융기관의 채팅 상담과 다른 방식이다. 개인 연락처 정보를 수집해 추가 피싱 공격이나 금융사기에 활용하려는 의도로 보인다.
▲ 누리랩의 Phishing·Smishing·Qshing 탐지 분석 서비스 ‘AskURL’ [자료: 누리랩]
사용자가 출금신청이나 환전시 입력한 정보들이 사이트 내부에 구성된 자바스크립트를 통해 PHP 서버로 전송됐다. 이는 일반적인 금융사 데이터 처리 방식이 아니다. 입력된 민감 정보가 공격자의 서버로 직접 전달돼 정보 유출의 가능성이 매우 높다.
사이트 내부 소스코드도 변수명이 yinhang(은행)이나 xingming(이름), jiage(가격) 등 중국어 발음을 영어로 표기한 형태로 작성됐다. 이는 국내 금융권에서 사용하지 않는 변수명이고, 이 사이트가 중국어권 개발자 또는 조직에 의해 제작되거나 운영될 가능성이 높단 분석이다.
김지훈 누리랩 이사는 “이번 피싱 사이트는 도메인까지 정교하게 모방해 일반 사용자들이 구별하기 힘든 만큼 안전한 인터넷 활용을 위해 사이트 검사 서비스를 활용하는 것을 권장한다”며 “피싱 공격의 대상이 된 기업은 유사 사이트의 존재를 알리고 주의를 당부하는 공지를 제공해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
“사이트 검사 서비스 활용 및 기업의 주의 공지 필요해”
[보안뉴스 조재호 기자] 최근 유명 금융사를 사칭, 개인정보를 탈취하고 금융 피해를 유도하는 가짜 사이트가 폭증하고 있어 주의가 요구된다.
11일 누리랩은 최근 피싱 사이트가 전년 대비 40% 이상 급증세라고 밝혔다. 지난해 하반기 기준 4731건 발견에서, 올해는 이날 현재 8139건을 기록하고 있다. 특히 공공이나 금융기관, 숙소 예약 사이트로 위장한 피싱 사이트의 증가폭은 두 배 이상을 늘었다.
▲ 신한투자증권 사칭 가짜 사이트. 진짜와 구분 어렵다. [자료: 누리랩]
이 가운데, 누리랩 측이 최근 실제 발생한 ‘신한투자증권 사칭 사이트 사건’을 분석한 자료에 따르면, 이 가짜 사이트는 실제 금융사와 유사한 로고를 전면 배치했다. 주요 메뉴로 ‘해외송금’과 ‘외화 buy&sell’과 같은 서비스를 강조, 방문자를 속였다.
사이트 우측 하단엔 실시간 상담 아이콘을 배치, 신뢰성을 높였다. 보안 인증서나 사업자등록번호 등의 정보를 기재토록 하고, URL도 ‘shinhan’으로 시작하는 등 정상 사이트로 오인하기 쉽다.
가입 양식에선 일반 금융사에서 요구하지 않는 ‘닉네임’과 같은 불필요한 정보를 묻는다. 외화 송금 시엔 외환거래법상 신분 확인이 필요하다는 메시지가 나온다. 이를 통해 개인정보를 부당 수집, 추가 사기 행각에 악용할 가능성이 높다.
또, 상담원과 대화를 시도하면 영어로 ‘현재 오프라인 상태’라는 메시지가 뜬다. 이후 간단한 인사말을 입력하면, 이메일 주소를 요구한다. 이 역시 일반적인 금융기관의 채팅 상담과 다른 방식이다. 개인 연락처 정보를 수집해 추가 피싱 공격이나 금융사기에 활용하려는 의도로 보인다.
▲ 누리랩의 Phishing·Smishing·Qshing 탐지 분석 서비스 ‘AskURL’ [자료: 누리랩]
사용자가 출금신청이나 환전시 입력한 정보들이 사이트 내부에 구성된 자바스크립트를 통해 PHP 서버로 전송됐다. 이는 일반적인 금융사 데이터 처리 방식이 아니다. 입력된 민감 정보가 공격자의 서버로 직접 전달돼 정보 유출의 가능성이 매우 높다.
사이트 내부 소스코드도 변수명이 yinhang(은행)이나 xingming(이름), jiage(가격) 등 중국어 발음을 영어로 표기한 형태로 작성됐다. 이는 국내 금융권에서 사용하지 않는 변수명이고, 이 사이트가 중국어권 개발자 또는 조직에 의해 제작되거나 운영될 가능성이 높단 분석이다.
김지훈 누리랩 이사는 “이번 피싱 사이트는 도메인까지 정교하게 모방해 일반 사용자들이 구별하기 힘든 만큼 안전한 인터넷 활용을 위해 사이트 검사 서비스를 활용하는 것을 권장한다”며 “피싱 공격의 대상이 된 기업은 유사 사이트의 존재를 알리고 주의를 당부하는 공지를 제공해야 한다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
