.gif)
정상 웹사이트와 매우 비슷한 URL, 퓨니코드 한 글자 삽입으로 완성
모바일 사용자가 눈으로 식별하기 어려워...기술적 조치에도 한계 있어
[보안뉴스 문가용 기자] 퓨니코드(punycode) 기술을 활용한 문자 메시지를 기반으로 한 피싱 공격이 기승을 부리고 있다. 이 기술을 활용하면 악성 URL을 보다 더 정상인 것처럼 보이게 만들 수 있다고 한다. 클라우드 보안 전문 업체인 지스케일러(Zscaler)가 해커들 사이의 이러한 유행을 발견했다.
[이미지 = iclickart]
문자 메시지를 활용한 피싱 공격은 보통 스미싱(SMiShing)이라고 한다. 공격자들이 문자 메시지들을 사용해 사용자들을 속여 특정 링크를 클릭하도록 만드는 방법이다. 이 링크는 대부분 멀웨어가 호스팅되어 있는 곳으로 연결시키거나, 사용자가 민감한 정보를 입력하도록 만든다.
퓨니코드란, 호모그래프 공격(homograph attack)이라고도 불리는데, 스미싱 공격에 활용되는 링크 주소를 보다 더 ‘믿음직스럽게’ 만드는 기술을 말한다. 누구나 다 알 법한 유명한 웹사이트의 URL을 사용하는데, 이 중 알파벳 일부를 유니코드로 바꿔 눈으로 가짜와 진짜를 식별하지 못하도록 하는 방법이 가장 많이 사용된다.
퓨니코드를 활용하는 공격은 전혀 새로운 것이 아니다. 오피스 365 비즈니스 사용자들과 크롬 및 파이어폭스 사용자들 역시 이러한 공격에 노출된 전적이 꽤나 된다. 다만 스미싱과 결합한 퓨니코드 공격이 최근 들어 급증하기 시작해 지스케일러가 경고를 발표한 것이다. 지스케일러에 따르면 “스미싱 자체도 올해 초부터 급속도로 증가하기 시작했기 때문에 눈여겨봐야 한다”고 한다.
스미싱 공격과 퓨니코드 기법이 결합했을 때, 공격 성공률이 크게 증가한다. 모바일 사용자들이 한두 글자가 조작된 URL을 알아볼 확률이 낮기 때문이다.
실제로 일어난 공격의 시나리오는 다음과 같다.
1) 한 사용자에게 왓츠앱 메시지가 도착했다.
2) 제트항공(Jet Airways)에서 보낸 링크 주소가 포함되어 있었다.
3) 무료 항공표를 준다는 내용이었다.
4) 눈으로 보기에 주소는 jetairways.com이었다.
5) 하지만 실제로 클릭을 하면 xn-jetarways-hpb.com으로 연결됐다.
이 공격을 아이폰으로 받게 되면 사파리 브라우저가 가짜 웹사이트를 로딩할 때 해당 웹사이트의 원래 주소를 표시하지 않는다. 하지만 안드로이드의 크롬에서 이 공격을 받게 되면 원래 주소가 아니라 퓨니코드가 적힌 URL이 그대로 주소창에 나타난다.
지스케일러는 이러한 현상에 대해 다음과 같이 설명한다. “웹브라우저들은 IDN이나 퓨니코드 형식의 주소를 나타낼 때 특정 문자가 있는지 여부를 가지고 결정합니다. 특히 모든 문자가 같은 언어권에서 나온 것인지를 확인하는데요, 이 때 허용이 가능한 조합의 문자들이 발견된다거나 도메인이 화이트리스트되어 있다면 표시를 하는 식이죠.”
위에서 언급된 공격의 경우 도메인은 새롭게 등록된 것이었다. 또한 피해자들은 피싱 페이지에 한 번 접속하고 나서는 또 다른 도메인인 newuewfarben.com이라는 주소로 다시 우회됐다. 이 사이트에서도 멀웨어가 호스팅되어 있는 것이 발견됐다.
“스미싱 공격은 2018년의 대세라고 볼 수 있을 만큼 성장하고 있습니다. 여기에 퓨니코드 기법이 더해지면서 성공률도 높아지고 있고요. 모바일 사용자들을 공략하기 위한 효율적인 공격법으로 인식되고 있죠. 브라우저사들도 조치를 취하고는 있지만 퓨니코드 자체는 합법적인 것이라 한계가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
모바일 사용자가 눈으로 식별하기 어려워...기술적 조치에도 한계 있어
[보안뉴스 문가용 기자] 퓨니코드(punycode) 기술을 활용한 문자 메시지를 기반으로 한 피싱 공격이 기승을 부리고 있다. 이 기술을 활용하면 악성 URL을 보다 더 정상인 것처럼 보이게 만들 수 있다고 한다. 클라우드 보안 전문 업체인 지스케일러(Zscaler)가 해커들 사이의 이러한 유행을 발견했다.
[이미지 = iclickart]
문자 메시지를 활용한 피싱 공격은 보통 스미싱(SMiShing)이라고 한다. 공격자들이 문자 메시지들을 사용해 사용자들을 속여 특정 링크를 클릭하도록 만드는 방법이다. 이 링크는 대부분 멀웨어가 호스팅되어 있는 곳으로 연결시키거나, 사용자가 민감한 정보를 입력하도록 만든다.
퓨니코드란, 호모그래프 공격(homograph attack)이라고도 불리는데, 스미싱 공격에 활용되는 링크 주소를 보다 더 ‘믿음직스럽게’ 만드는 기술을 말한다. 누구나 다 알 법한 유명한 웹사이트의 URL을 사용하는데, 이 중 알파벳 일부를 유니코드로 바꿔 눈으로 가짜와 진짜를 식별하지 못하도록 하는 방법이 가장 많이 사용된다.
퓨니코드를 활용하는 공격은 전혀 새로운 것이 아니다. 오피스 365 비즈니스 사용자들과 크롬 및 파이어폭스 사용자들 역시 이러한 공격에 노출된 전적이 꽤나 된다. 다만 스미싱과 결합한 퓨니코드 공격이 최근 들어 급증하기 시작해 지스케일러가 경고를 발표한 것이다. 지스케일러에 따르면 “스미싱 자체도 올해 초부터 급속도로 증가하기 시작했기 때문에 눈여겨봐야 한다”고 한다.
스미싱 공격과 퓨니코드 기법이 결합했을 때, 공격 성공률이 크게 증가한다. 모바일 사용자들이 한두 글자가 조작된 URL을 알아볼 확률이 낮기 때문이다.
실제로 일어난 공격의 시나리오는 다음과 같다.
1) 한 사용자에게 왓츠앱 메시지가 도착했다.
2) 제트항공(Jet Airways)에서 보낸 링크 주소가 포함되어 있었다.
3) 무료 항공표를 준다는 내용이었다.
4) 눈으로 보기에 주소는 jetairways.com이었다.
5) 하지만 실제로 클릭을 하면 xn-jetarways-hpb.com으로 연결됐다.
이 공격을 아이폰으로 받게 되면 사파리 브라우저가 가짜 웹사이트를 로딩할 때 해당 웹사이트의 원래 주소를 표시하지 않는다. 하지만 안드로이드의 크롬에서 이 공격을 받게 되면 원래 주소가 아니라 퓨니코드가 적힌 URL이 그대로 주소창에 나타난다.
지스케일러는 이러한 현상에 대해 다음과 같이 설명한다. “웹브라우저들은 IDN이나 퓨니코드 형식의 주소를 나타낼 때 특정 문자가 있는지 여부를 가지고 결정합니다. 특히 모든 문자가 같은 언어권에서 나온 것인지를 확인하는데요, 이 때 허용이 가능한 조합의 문자들이 발견된다거나 도메인이 화이트리스트되어 있다면 표시를 하는 식이죠.”
위에서 언급된 공격의 경우 도메인은 새롭게 등록된 것이었다. 또한 피해자들은 피싱 페이지에 한 번 접속하고 나서는 또 다른 도메인인 newuewfarben.com이라는 주소로 다시 우회됐다. 이 사이트에서도 멀웨어가 호스팅되어 있는 것이 발견됐다.
“스미싱 공격은 2018년의 대세라고 볼 수 있을 만큼 성장하고 있습니다. 여기에 퓨니코드 기법이 더해지면서 성공률도 높아지고 있고요. 모바일 사용자들을 공략하기 위한 효율적인 공격법으로 인식되고 있죠. 브라우저사들도 조치를 취하고는 있지만 퓨니코드 자체는 합법적인 것이라 한계가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
