피싱 사이트 통해 단순히 로그인 창만 보여주던 방식 탈피
각종 웹 기능 개발하고 인증으로 오해할 단계 만들어 사용자 신뢰도 높여
[보안뉴스 이상우 기자] 피싱과 스미싱은 특별히 획기적인 해킹 기법이나 악성코드를 이용하기 보다는 사용자를 교묘하게 속이는 사회공학적 기법이 주로 이용된다. 공격자는 코로나19 같은 사회적 이슈, 북한 동향 같은 정치적 이슈, 코인이나 주식 등 경제적 이슈를 이용해 사용자의 눈길을 끈다. 하지만, 주제가 바뀌더라도 기본적인 공격 방식은 동일하기 때문에 이를 경험해본 사람이라면 피싱임을 쉽게 눈치챌 수 있다.
▲흔히 쓰이는 그룹웨어 사칭 피싱 사이트[자료=보안뉴스]
이러한 이유에서인지 최근 발생하는 피싱·스미싱 공격은 단순히 계정을 입력하는 페이지만 만드는 것이 아니라 피해자를 보다 확실하게 속이기 위해 여러 기능을 추가하고 있다. 피싱 페이지에서 이러한 기능과 단계를 추가로 개발할 경우 피해자 입장에서는 정상적인 사이트로 오인해 각종 개인정보를 입력할 가능성도 상대적으로 커진다.
최근 발견된 피싱의 경우 자바 스크립트를 이용해 웹 페이지 기능을 구현했다. 사용자가 주로 사용하는 이메일 서비스 로그인 화면 하나만 보여주는 것과 달리, 다양한 이메일 서비스를 선택할 수 있게 하고 이에 맞춰 화면에 표시되는 문구 역시 바뀌는 방식이다.
▲자바 스크립트를 이용해 웹 기능을 구현한 피싱 사이트[자료=보안뉴스]
공격자는 우선 보안 문서를 보낸 것처럼 내용을 꾸며 이메일을 발송한다. 공격자가 발송한 URL을 클릭할 경우 배경화면이 ‘엑셀’ 문서로 된 사이트로 연결되며, 이 문서를 확인하기 위해서는 자신의 이메일 계정을 이용해 오피스365에 로그인하라고 안내한다. 특히, 공격자는 로그인 과정에서 지메일, 아웃룩, AOL, 마이크로소프트, 야후 등 여러 이메일 서비스를 선택할 수 있게 했다. 특정 이메일 서비스를 사칭한 피싱 페이지의 경우 해당 서비스 계정을 사용하지 않는다면 피싱으로 간주할 가능성이 크다. 하지만 이번 피싱의 경우 엑셀 웹 애플리케이션을 사칭한 것은 물론, 로그인 방식을 다양화해 여러 서비스의 계정정보 탈취를 노렸다.
최근 발생한 네이버 사칭 피싱에서도 캡챠(Capcha) 코드를 이용해 정상적인 사이트인 것처럼 꾸몄다. 공격자는 네이버 보안 서비스를 사칭해 ‘차단한 해외 지역에서 로그인이 시도되었습니다’ 등의 메시지를 보내고 사용자를 현혹한다. 여기서 사용자가 계정 보안 강화를 위해 ‘아니요’ 버튼을 누를 경우 계정정보 입력을 위한 피싱 사이트로 연결된다. 여기서는 단순한 피싱과 달리 캡챠코드 입력을 요구하며, 이러한 과정을 거치면서 사용자는 정상 사이트로 오해할 가능성이 커지고, 자연스럽게 자신의 ID와 비밀번호를 입력하게 된다.
▲캡챠 코드를 이용해 네이버를 사칭한 피싱[자료=이스트시큐리티]
코로나19 이슈와 관련해 발생한 질병관리청 사칭 스미싱 역시 번거로운 단계를 거친 뒤 악성 앱 설치파일을 설치하도록 유도한다. 스미싱 메시지에 있는 URL을 누를 경우 피싱 사이트로 입력되며, 여기서 전화번호를 입력할 수 있는 창이 나타난다. 사용자가 전화번호를 입력하면 이후 이름과 생년월일 6자리 입력을 유도한다. 이처럼 본인인증 과정으로 위장한 단계를 거치면서 사용자는 의심을 풀게 되고, 이후 피싱 사이트에서 제공하는 악성 앱을 실제 질병관리청이 제공하는 앱으로 오해할 수 있다.
설치된 악성앱 역시 사용자를 교묘하게 속인다. 신원 확인을 하는 것처럼 속여 신분증을 촬영하거나 신분증 사진을 올리도록 유도하며, 이후 주거래 은행과 계좌번호, 비밀번호, 인증서 비밀번호까지 입력하라고 요구한다. 이러한 개인정보 입력을 마치면 ARS를 통해 본인인증을 진행한다는 메시지가 나타나지만, 실제로는 아무런 인증도 진행되지 않는다. 사용자가 개인정보 입력을 마친 단계에서 해당 정보는 이미 사이버 공격자에게 전송됐기 때문이다.
이러한 공격을 예방하는 방법은 언제나 같다. 알 수 없는 상대방이 보낸 이메일에 호기심이 생기더라도 URL을 함부로 누르지 말아야 하며, 보안 등과 관련된 이슈로 속이더라도 메일에 포함된 링크보다는 실제 사이트에 직접 접속해 보안 설정을 변경하는 것이 좋다. 특히, URL을 클릭했을 경우 해당 페이지가 실제 사이트가 맞는지 주소 표시줄을 잘 확인하고, 조금이라도 이상하다면 계정정보나 개인정보를 절대 입력해서는 안된다.
[이상우 기자(boan@boannews.com)]
각종 웹 기능 개발하고 인증으로 오해할 단계 만들어 사용자 신뢰도 높여
[보안뉴스 이상우 기자] 피싱과 스미싱은 특별히 획기적인 해킹 기법이나 악성코드를 이용하기 보다는 사용자를 교묘하게 속이는 사회공학적 기법이 주로 이용된다. 공격자는 코로나19 같은 사회적 이슈, 북한 동향 같은 정치적 이슈, 코인이나 주식 등 경제적 이슈를 이용해 사용자의 눈길을 끈다. 하지만, 주제가 바뀌더라도 기본적인 공격 방식은 동일하기 때문에 이를 경험해본 사람이라면 피싱임을 쉽게 눈치챌 수 있다.
▲흔히 쓰이는 그룹웨어 사칭 피싱 사이트[자료=보안뉴스]
이러한 이유에서인지 최근 발생하는 피싱·스미싱 공격은 단순히 계정을 입력하는 페이지만 만드는 것이 아니라 피해자를 보다 확실하게 속이기 위해 여러 기능을 추가하고 있다. 피싱 페이지에서 이러한 기능과 단계를 추가로 개발할 경우 피해자 입장에서는 정상적인 사이트로 오인해 각종 개인정보를 입력할 가능성도 상대적으로 커진다.
최근 발견된 피싱의 경우 자바 스크립트를 이용해 웹 페이지 기능을 구현했다. 사용자가 주로 사용하는 이메일 서비스 로그인 화면 하나만 보여주는 것과 달리, 다양한 이메일 서비스를 선택할 수 있게 하고 이에 맞춰 화면에 표시되는 문구 역시 바뀌는 방식이다.
▲자바 스크립트를 이용해 웹 기능을 구현한 피싱 사이트[자료=보안뉴스]
공격자는 우선 보안 문서를 보낸 것처럼 내용을 꾸며 이메일을 발송한다. 공격자가 발송한 URL을 클릭할 경우 배경화면이 ‘엑셀’ 문서로 된 사이트로 연결되며, 이 문서를 확인하기 위해서는 자신의 이메일 계정을 이용해 오피스365에 로그인하라고 안내한다. 특히, 공격자는 로그인 과정에서 지메일, 아웃룩, AOL, 마이크로소프트, 야후 등 여러 이메일 서비스를 선택할 수 있게 했다. 특정 이메일 서비스를 사칭한 피싱 페이지의 경우 해당 서비스 계정을 사용하지 않는다면 피싱으로 간주할 가능성이 크다. 하지만 이번 피싱의 경우 엑셀 웹 애플리케이션을 사칭한 것은 물론, 로그인 방식을 다양화해 여러 서비스의 계정정보 탈취를 노렸다.
최근 발생한 네이버 사칭 피싱에서도 캡챠(Capcha) 코드를 이용해 정상적인 사이트인 것처럼 꾸몄다. 공격자는 네이버 보안 서비스를 사칭해 ‘차단한 해외 지역에서 로그인이 시도되었습니다’ 등의 메시지를 보내고 사용자를 현혹한다. 여기서 사용자가 계정 보안 강화를 위해 ‘아니요’ 버튼을 누를 경우 계정정보 입력을 위한 피싱 사이트로 연결된다. 여기서는 단순한 피싱과 달리 캡챠코드 입력을 요구하며, 이러한 과정을 거치면서 사용자는 정상 사이트로 오해할 가능성이 커지고, 자연스럽게 자신의 ID와 비밀번호를 입력하게 된다.
▲캡챠 코드를 이용해 네이버를 사칭한 피싱[자료=이스트시큐리티]
코로나19 이슈와 관련해 발생한 질병관리청 사칭 스미싱 역시 번거로운 단계를 거친 뒤 악성 앱 설치파일을 설치하도록 유도한다. 스미싱 메시지에 있는 URL을 누를 경우 피싱 사이트로 입력되며, 여기서 전화번호를 입력할 수 있는 창이 나타난다. 사용자가 전화번호를 입력하면 이후 이름과 생년월일 6자리 입력을 유도한다. 이처럼 본인인증 과정으로 위장한 단계를 거치면서 사용자는 의심을 풀게 되고, 이후 피싱 사이트에서 제공하는 악성 앱을 실제 질병관리청이 제공하는 앱으로 오해할 수 있다.
설치된 악성앱 역시 사용자를 교묘하게 속인다. 신원 확인을 하는 것처럼 속여 신분증을 촬영하거나 신분증 사진을 올리도록 유도하며, 이후 주거래 은행과 계좌번호, 비밀번호, 인증서 비밀번호까지 입력하라고 요구한다. 이러한 개인정보 입력을 마치면 ARS를 통해 본인인증을 진행한다는 메시지가 나타나지만, 실제로는 아무런 인증도 진행되지 않는다. 사용자가 개인정보 입력을 마친 단계에서 해당 정보는 이미 사이버 공격자에게 전송됐기 때문이다.
이러한 공격을 예방하는 방법은 언제나 같다. 알 수 없는 상대방이 보낸 이메일에 호기심이 생기더라도 URL을 함부로 누르지 말아야 하며, 보안 등과 관련된 이슈로 속이더라도 메일에 포함된 링크보다는 실제 사이트에 직접 접속해 보안 설정을 변경하는 것이 좋다. 특히, URL을 클릭했을 경우 해당 페이지가 실제 사이트가 맞는지 주소 표시줄을 잘 확인하고, 조금이라도 이상하다면 계정정보나 개인정보를 절대 입력해서는 안된다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
