Phishing은 1996년 American Online(AOL)을 사용하던 10대들이 일반 사용자들에게 가짜 이메일을 보내는 해킹 기법에서 유래됐으며 이들은 당시, 자신의 이메일을 AOL에서 보낸 이메일이라고 속이는 방법을 통해 일반 사용자들의 계정정보를 훔쳤다.

    Phishing은 온라인상에서 가짜 미끼를 걸어, 고객의 개인정보(Private Data)를 낚시질(fishing)하는 것을 의미하는 것으로 여기서 Private Data(개인정보)와 Fishing(낚시)의 단어가 합쳐져 Phishing이라는 단어가 탄생되었다. 이 단어는 당시 alt.2600이라는 해커가 주로 이용하던 뉴스그룹에서 처음 언급되었다.

    Phishing에 주로 사용되는 방법은 수신자가 원치 않는 이메일 또는 스팸 등을 발송하여 인터넷 사용자들을 Phisher들이 운영하는 웹사이트로 이동시키는데, 그 웹사이트들은 합법적인 전자 상거래 사이트처럼 위조되어 있다.

    여기서 Phisher는 가짜 이메일을 보내어 사용자들을 속이고 정보를 빼내는 사람으로 Phishing 공격을 수행하는 사람을 의미한다. 또한 이러한 사이트에서는 사용자에게 계좌 정보를 갱신한다는 명목 하에 패스워드, 주민등록번호, 은행 계좌 혹은 신용카드 번호를 제공하도록 유도한다.

    Phisher들은 이렇게 획득한 정보를 다양한 용도로 사용하게 되며 Phishing 공격의 피해자는 해당 사실을 어느 날 자신이 사용하지 않은 내역이 다수 포함된 고지서 등과 같은 정보를 통해서 알게 될 것이다.



    [그림1] Phishing 공격 추이

    이러한 Phishing 범죄의 최근 경향을 다룬 Anti-Phishing Working Group(APWG)의 보고에 의하면 공격이 급증하고 있으며 올 6월에만 1,422개의 새로운 공격이 APWG에 보고되었으며, 이는 5월에 비해 19% 증가한 수치로 2004년에는 이러한 공격 보고가 매달 52%씩 증가하였다고 한다. (출처 : http://www.antiphishing.org/)


    1. Phishing 공격 방법

    (1) 유사한 이메일 주소 사용

    공격자의 메일 발송 도메인주소를 실제 도메인 주소와 유사하게 만들어 피해자로 하여금 발송자의 이메일주소 구분이 어렵도록 하여 피해자를 속이는 방법이다.

    예) 실제 e-mail : service@usbank.com, 위조 e-mail : service@usbank-email.com

    (2) 유사한 도메인 이름 사용

    피해자가 접속하기 위한 위조 사이트의 도메인을 실제사이트와 유사하게 만들어 피해자로 하여금 도메인 구분이 어렵도록 하여 피해자를 속이는 방법이다.

    예) 실제 site - http://www.usbank.com
       위조 site - http://www.us-bank.com



    [그림2] 위조 이메일 내용



    [그림3] 위조 웹사이트

    위의 예에서 공격자는 http://www.citezensbankonline.com 을 클릭하였으나 실제 접속된 곳은 http://www.citezenscolorsbankonline.com/default 로 도메인 이름이 교묘하게 다른 것을 알 수 있다.

    (3) 이메일주소 Spoofing

    공격자가 메일발송 주소를 Spoofing하여 실제 메일발송자와 구분하지 못하게 하는 방법으로 실제 해당 기관의 메일주소와 똑같이 Spoofing 되므로 실제 메일 발송자가 누구인지를 구분하지 못하게 된다. 거의 모든 피싱메일은 발신자의 이메일주소가 Spoofing 되어 있다.



    [그림4] 메일 헤더 정보

    발신자의 이메일 주소가 account@ebay.com으로 Spoofing 되어 발송된 이메일

    (4) Hyperlink 위조

    HTML로 된 메일 본문의 링크에 표현되는 것은 실제 주소와 같으나 본문의 HTML 소스 코드 내에서는 전혀 다른 위조사이트의 주소로 링크 되어있어 실제 접속하게 되는 곳은 위조사이트가 되어 피해자를 속이는 방법이다.



    [그림5] 메일 본문



    [그림6] 클릭 후의 웹브라우저 주소창

    위의 그림과 같이 피해자가 링크를 클릭하였을 때, 메일본문에서 클릭한 주소와는 다른 주소가 웹브라우저 주소창에 나타나므로 사용자가 바로 확인이 가능하나 주의 깊게 주소창을 보지 않으면 피해를 볼 수 있다.

    공격자가 미리 취약점이 있는 웹서버를 해킹하여 위조된 페이지를 만들어 두고 피해자의 접속을 기다리는 경우가 많다.

    (5) 스크립트를 이용한 주소창 위조

    웹 브라우저의 주소창을 위조하여 피해자가 잘못된 링크에 접속하더라도 자바스크립트를 이용하여 정상적인 페이지에 접속한 것처럼 주소창을 위조하는 방법이다. 해당 스크립트는 먼저 스크립트가 사용 가능한 브라우저(Internet Explorer)인지 확인한 후 적합한 브라우저가 아닐 경우 바로 창을 닫고 적합한 브라우저일 경우 해당 스크립트를 실행하여 주소창에 잘못된 주소를 표시하게 된다.



    [그림7] 메일 본문의 링크



    [그림8] 위조된 주소창

    (6) Popup 창을 이용

    피싱메일의 본문 링크를 클릭시 백그라운드로는 정상적인 링크 페이지를 띄우고 Popup 창을 이용하여서는 공격자에 의해 위조된 피싱페이지를 띄우게 된다. 공격자는 메일 본문의 링크를 공격자가 만들어 놓은 페이지로 이동하게 하고 해당 페이지에서는 Popup 창과 정상적인 창을 바로 띄울 수 있게 되어있다.

    Popup창은 URL 이 보이지 않게 되어있으므로 사용자가 의심하지 않게 된다. 공격자는 Popup창에 중요정보를 입력할 수 있도록 만들어 놓고 피해자는 Popup창에 정보를 입력하게 된다.



    [그림9] 위조된 페이지로 뜬 팝업창

    (7) 웹브라우저의 URL Spoofing 취약점

    웹사이트에 http(s)://username:password@server 와 같이 기본인증을 통해 접근하는 방법은 웹브라우저의 주소창에 잘못된 URL을 표시하는 취약점이 존재한다.

    이 취약성은 특정한 웹브라우저 버전에 대한 취약성으로 해당 취약점은 URL링크의 소스파일에 %01 , %00 또는 @가 들어가 있으면 %01 , %00 또는 @ 이하의 주소는 표시하지 못하여 제대로 된 URL을 표시하지 못하게 된다.

    따라서 사용자가 클릭한 링크와 다른 사이트를 방문하여도 주소창에서 확인이 불가능하여 사용자는 위조사이트를 신뢰된 사이트로 믿게 된다. 웹 브라우져가 해당 취약점에 취약한지의 여부는 다음사이트에서 테스트해볼 수 있다.

    * http://secunia.com/internet_explorer_address_bar_spoofing_test/



    [그림10] 소스코드내 삽입된 취약한 특수문자

    소스코드 내에 문자 %00가 존재하는 것을 확인할 수 있다.



    [그림11] 취약한 웹브라우저의 주소창

    위와 같이 해당 취약한 웹브라우저를 사용할 경우 %00@ 이하의 URL 주소는 표시가 되지 않는다.

    취약한 브라우저에서 해당 링크를 클릭하였을 경우 주소표시창에 표시되는 것은 http://www.microsoft.com이나 실제 접속하는 사이트는 http://secunia.com/이 된다. 즉 사용자가 특정 링크를 클릭할 경우 원치 않는 페이지로 접근될 수 있다.

    취약한 브라우저는 업데이트를 하여 http(s)://username:password@server 와 같은 기본인증의 사용을 중지시켜야 한다.



    [그림12] 취약하지 않은 웹브라우저의 주소?/font>

    취약하지 않은 웹브라우저를 사용할 경우는 위와 같이 표시가 되고 %00 이하의 사이트로 접속되지 않는다. 이러한 웹브라우저의 취약성을 이용한 것은 다음과 같은 예가 있다.

  • Internet Explorer URL Spoofing 취약성

    ① 설명
    - 앞에서 예시한 것이 이 취약성을 이용한 예이다.

    ② 참조 사이트
    - http://support.microsoft.com/?id=833786
    - http://secunia.com/advisories/10395/

  • Opera 웹브라우저 IFrame OnLoad 주소 표시중 URL 위장 취약성

    ① 설명
    - Opera Software Opera Web Browser 사용 시에 웹페이지의 URL 창에 잘못된 정보를 표시할 수 있으며 이를 이용하면 사용자가 신뢰된 사이트에 접속한 것처럼 보이나 실제로는 악성페이지에 접근한 것으로 위장이 가능하다.

    해당 취약점은 윈도우 및 리눅스 버전에서 발견되었으며 취약점을 제거하기 위해서는 Opera Software Opera Web Browser 7.54 버전으로 업데이트 해야 한다.

    ② 참조사이트
    - http://www.krcert.or.kr/popup/kcve/kcveView.jsp?mode=KOR&kid=KCVE-040711
    - http://www.opera.com/

    (8) 링크 주소를 Encoding

    메일 본문의 링크에 걸린 URL을 인코딩하여 소스에 집어 넣는 방법이며 소스 페이지에서 위조페이지의 URL은 Encoding되어 있으므로 확인하기가 힘들다. 해당 Encoding된 URL을 Decoding하여 보면 정상페이지가 아닌 위조된 페이지에 접근하는 것을 확인할 수 있다.



    [그림13] 메일 본문



    [그림14] Encoding 된 링크

    메일본문 링크의 소스를 보면 위와 같이 Encoding되어 있으며 @앞의 부분은 사용자를 속이기 위해 정상사이트의 링크와 비슷하게 위조한 주소를 Encoding 해 놓은 것이다. 실제 링크로 접속 시 해당 부분은 보이지 않게 된다.



    [그림15] Decoding 되어 접속된 사이트

    (9) 메일 본문에 중요정보 직접입력

    메일 본문에 중요정보를 바로 입력하도록 메일을 보내는 방법이다. 일반적으로 기업에서 중요정보를 이용함에 있어서 메일을 이용하여 요청하는 경우는 없으므로 사용자는 메일로 이러한 요청이 올 경우 피싱 메일이라는 것을 의심해봐야 한다.



    [그림16] 입력 폼이 있는 메일 본문

     

  • Posted by 부니기