posted by Kwan's 2013. 9. 17. 14:54


Google Docs으로 부터 여러분에게 보내진 “보안문서(Secure Document)”인척 하는 대규모의 피싱 공격이 이번 주 동안 유행하였습니다.

보안업계에 종사하는 우리 같은 사람들은 놀라지 않을지도 모르지만, 피싱 공격들은 전통적인 방어를 피하는 매우 효과적인 방법들 중의 하나임을 스스로 증명하고 있습니다.

많은 기관들이 Google 클라우드로 옮겨감에 따라, 이런 류의 피싱 미끼는 계속해서 범죄용으로 사용되는 결과를 낳을 것입니다.

그 이메일은 다음과 같습니다.:

안녕하세요.

당신의 금융기관에서 Google Docs를 사용한 보안 문서를 보내었습니다.
문서를 보기 위해 Google Docs 웹페이지를 방문하려면 아래 링크를 클릭하십시오.
여기를 클릭하세요. 문서는 중요하다고 되어 있습니다.

수고하십시오.
The Gmail Team

피싱 이메일이 아주 특별한 것은 아니지만, 이 피싱 이메일은 제 눈에 걸립니다. 게다가 다소 그럴 듯한 미끼이고, 모두가 속을 수 있는 익스플로잇 입니다.

만약 그 링크를 클릭하면, 여러분은 대만에서 호스팅되고 있는 피싱 페이지를 보게 됩니다.

그 페이지는 여러분의 Google 계정정보를 요청할 뿐만 아니라, Yahoo!, Outlook.com, Hotmail, AOL, Comcast, Verizon, 163.com 그리고 기타 다른 이메일 계정으로도 접속 가능하다고 말합니다.

물론, 이 입력폼을 채우면 당장 낭패를 보게 될 것입니다. 여러분의 상세정보는 해커들이 바라는 목적이 무엇이든지 간에 감염된 서버로 보내집니다.

여러분은 이렇게 생각할지도 모릅니다. “그래서 뭘? 내 Gmail은 나의 국적/삶/경력을 파괴할 비밀의 전부는 아니거든.”

그러나 당신이 틀렸다는 것을 곧 알게 될 것입니다. 왜냐하면 당신 이메일은 당신의 온라인 신원 대부분을 파헤치는 열쇠이기 때문입니다.

당신의 은행계좌 비밀번호를 잊어버렸습니까? 걱정하지 마세요, 그들이 당신에게 비밀번호 리셋 링크를 이메일로 보낼 것입니다.

여러분의 회사가 클라우드 서비스를 이용합니까? 여러분의 이메일 계정이 이런 시스템에 접속하는 열쇠인 것 같습니다.

놀랍게도 피싱은 성공한 기술입니다.

그렇다면, 세상에서 가장 강력한 미디어 조직들 중 몇 곳을 감염시킬 수 있는 기술적인 재능(피싱)을 지닌 시리아전자군대(Syrian Electronic Army)에게 물어 보세요.

IT 관리자로서, 이것은 여러분의 직원들에게 위험을 가르치는 기회입니다.

이것이 유행하고 있는 피싱들 중 가장 설득력 있는 것이 아닐지도 모르지만, 여러분의 직원을 교육하는 유용한 도구입니다.

많은 기업들이 Google이나 기타 클라우드 서비스 제공업체를 이용하여 중요한 IT 서비스를 제공하고 있습니다. 언뜻 보기에 이것은 매우 믿음직스러울 수 있습니다.

희생자가 되지 않으려면 무엇을 해야 할까요? 나는 모든 중요한 서비스에 대해 나의 브라우저에 바로가기를 만듭니다.

만약 나의 이메일이나 은행 또는 다른 온라인 서비스에 접속할 필요가 있다면, 그런 링크를 클릭하지 않고, 바로 즐겨찾기를 클릭하는 것입니다.


댓글을 달아 주세요

posted by Kwan's 2013. 4. 2. 21:45


피싱(Phishing)은 종종 구식으로 여겨지는데, 기술적인 관점에서, 피싱은 ‘이미 다 겪어본 것’입니다.

그러나 때로는, 평범하지 않은 좀 더 흥미로운(적어도 차이가 나는) 공격을 만나게 됩니다. 이 글에서 나는 최근 몇 개월 동안 우리가 보아온 몇몇 피싱 공격에 사용된 기술들 중 하나를 간단히 살펴볼 것입니다.

대부분의 피싱 공격은 다음 2가지 중 하나로 나눠집니다:

  1. 이메일 메시지 본문 안에 피싱 사이트 링크를 포함한 스팸 이메일. 몇몇 경우에, 메시지 본문에 있는 링크는 사용자들을 피싱 사이트로 재연결 시키는 초기 웹페이지(보통 감염된 웹사이트에서 호스팅됨)를 가리킬지도 모릅니다. 어느 쪽이든, 링크를 클릭하면 사용자들을 결국에는 피싱 페이지로 연결시킵니다.
  2. 피싱 페이지 자체인 HTML 첨부파일을 포함한 스팸 이메일. 소포스 제품들은 이런 첨부파일을 Mal/Phish-A로 차단합니다.

2번째 타입에 있어서, HTML 첨부파일을 만들기 위해 대부분의 공격들은 동일한 기술을 사용합니다:

  • 은행 로그인 페이지와 같이 위조할 웹 페이지에 대한 HTML 소스를 복사.
  • 선택적으로, 이 코드를 난독화함. (아마도 난독화된(obfuscated) JavaScript를 통해 전달)
  • 전송된 데이터가 공격자의 웹 서버로 보내지도록 적절한 HTML 폼으로 수정

지난주 나는 HTML 첨부파일로 스팸메일을 보내고 있는 페이팔(PayPal) 로그인 페이지에 대해 경고를 하였습니다. 하지만 이런 경우에 페이지 안의 HTML form은 모두 합법적인 페이팔 서버를 참고하고 있습니다.

모아진 데이터는 공격자들에게 어떻게 되돌려 보내질까요?

더욱 세밀한 조사로 사용자데이터를 거르는 매우 교활한 방법이 밝혀졌습니다.

그 스팸 메시지 자체는 여러분이 이미 알고있는, 수신인들을 속여 첨부파일을 열도록 시도하는 소셜 엔지니어링입니다.

사용자가 그 첨부파일을 열면, 그것은 페이팔 로그인 페이지처럼 보이는 것을 보여줍니다. 그 HTML 소스를 조사해보면, 그 페이지 안의 변수 form들이 합법적인 페이팔 리소스를 참고하고 있습니다.

하지만 그 페이지는 페이팔이 아닌 서버로부터 의심스러운 JavaScript 컨텐트 form을 담고 있었습니다. 게다가, 그 페이지 안에는 의심스러운(또는 예상치 못한) 빈 iframe이 있었습니다.

원격 JavaScript는 그 공격이 어떻게 이루어지는지에 대한 방법을 드러내었습니다. 그 스크립트는 페이팔 변수 form에 사용자가 입력한 값을 검증하는 데 사용되었습니다.

고객 로그인 폼으로부터 나온 데이터는 변수 cus_data에 일련 되게 저장되었습니다.

그러면, 그 일련의 청구 폼에서 나온 데이터가 변수 cc-data에 일련 되게 저장됩니다.

그러면, 이런 변수들은 동적으로 빈 iframe 엘리먼트에 데이터를 보태면서 공격자들에게 되돌려 보내집니다.

교활하죠! Form 제출 프로세스를 가로채고, iframe을 극적으로 덧붙임으로써, 공격자들은 form 데이터를 그들의 서버로 되돌려 보낼 수 있습니다. 여기에는 다음과 같은 것들이 포함됩니다.

  • Email
  • Password
  • First name
  • Last name
  • Date of birth
  • Citizenship
  • Address
  • Telephone number
  • Credit card number
  • Cvv number
  • Expiry date
  • Sort code
  • Social security number
  • Customer id

왜 이 모든 것에 신경을 썼을까요? 왜 기본 폼을 사용하지 않고 HTML 폼의 타깃을 편집 하였을까요?

이번 공격에 사용된 기술에는 아마도 2가지 이점이 있습니다.

  1. 스팸 메일을 보낸 웹페이지는 혐의를 덜 받을 것입니다. 폼이 예상 밖의 원격 서버를 가리키는 것을 보면 그 페이지가 피싱되었다고 그냥 알려주는 것입니다.
  2. 그 메커니즘으로 인하여 그것들은 다중 폼으로부터 받은 데이터를 포함할 수 있습니다. 고객들이 서로 다른 단계에서 데이터를 입력하는 복합 사이트에 이상적입니다.

나는 이 이야기의 교훈은 ‘구식’ 공격이 완전히 묵살되지는 않는다 것으로 생각합니다. 그것들은 여전히 놀라움을 줄 수 있습니다!

댓글을 달아 주세요

posted by Kwan's 2011. 2. 8. 15:44
원본 글 : http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=10400


월드 오브 워크래프트에서의 피싱

나는 지금까지 대부분의 사람들이 돈을 훔치기 위해 여러분의 온라인 계좌를 해킹하려고 하고, 금융 정보를 피싱하는 사이버범죄자들의 개념을 잘 알고 있다고 생각해 왔습니다.

보안적인 측면에서 최신상태를 유지하려는 사람들은 소셜 네트워크 계정들 또한 해커들에게 매력적이라는 것을 매우 잘 알고 있습니다. 우리의 최신 연구에 의하면, 소셜 네트워크 이용자의 43%가 그런 사이트들을 통해 보내온 피싱 결과물들을 받아본 적이 있다고 했습니다.

해커들은 스팸메일, 피싱, 맬웨어 캠페인을 보낼 때 신분을 훔치고 다른 사람인 것처럼 위장하려고 취약한 소셜 네트워크 사이트의 계정을 이용할 수 있습니다.

하지만, 종종 간과되는 것은 온라인 비디오 게이머들에게 일어날 수 있는 피싱입니다.

우리는 최근에 급증하는 게임 관련 피싱 공격을 봐왔습니다. 여기에 이번 주 우리의 스팸 트랩들에서 본 몇 가지 피싱 이메일의 예가 있습니다.

그 이메일은 유명한 월드 오브 워크래프트(World of Warcraft) 게임의 개발사인 블리자드(Blizzard)로부터 온 것이라고 합니다. 이 게임의 플레이어들은 그들의 계정 상세정보를 블리자드의 Battle.net서비스에서 관리를 하는데, 이들 이메일들은 Battle.net인 것처럼 위장한 사이트로 링크되어 있고 여러분의 로그인 개인정보(credentials)를 훔치려고 시도합니다.

내가 알고 있는 보통의 월드 오브 워크래프트 플레이어에게 이 이야기를 했는데, 그녀는 그 피싱 웹사이트가 실제 사이트와 완전히 똑같았다고 얘기했습니다. 사실, 그녀는 그 사이트가 월드 오브 워크래프트 기업과 관련되지 않은 것을 확인하기 위해 WHOIS lookup을 해야만 했습니다.

여러분은 어떤게 진짜 Battle.net 웹사이트인지 확인하려 한다면, 그녀가 말한 의미를 알 수 있습니다.


(이들 두 스크린샷은 아마도 약간의 폰트 차이를 설명하려고 서로 다른 브라우저와 서로 다른 OS에서 운영되는 컴퓨터에서 캡쳐한 것입니다.)

왜 피셔들은 여러분의 온라인 게임 계정에 관심을 가지는 걸까요? 월드 오브 워크래프트를 좋아하는 몇 몇 게이머들은 게임에서 그들의 포지션을 향상시키기 위해 가상의 “골드”와 다른 서비스들을 사려고 준비하고 있습니다. 그것은 사실상, 오랜 시간 동안 힘들게 게임을 하지 않고도 게임에서 여러분의 레벨을 향상시킬 수 있는 방법입니다.

피셔들과 스파이웨어 제작자들은 게임 세상에서 사용되는 가상의 “골드”와 다른 아이템들을 위한 시장이 있다는 것을 알고, 무고한 사용자들의 계정을 해킹하여 그것들을 엉망으로 만드는데 흥미를 가지고 있습니다.

칭찬할만한 것은 블리자드가 그들의 고객들에게 블리자드 웹사이트실제 Battle.net 웹사이트에 조언을 함으로써 피싱 사기에 대한 교육을 하려고 시도하고 있는 점입니다.

하지만 여러분은 여러분의 기지를 유지하고, 게임 계정에 대해 분별 있고 해킹하기 어려운 패스워드를 사용하고, 여러분 컴퓨터를 최신 안티 스팸 및 안티 바이러스 소프트웨어로 확실히 보호함으로써 여러분 스스로 지킬 수도 있습니다.

뜻밖이겠지만, 이 범죄가 게임 세상에만 집중된 것일지라도, 시스템 관리자들이 기업 네트워크를 보호하려고 시도한다는 이슈들도 있습니다. 그것은 꽤 많은 사용자들이 인터넷에서 방문하는 모든 사이트에서 동일한 패스워드를 사용할 것이기 때문입니다.

다시 말해, 만약 여러분의 사용자들이 월드 오브 워크래프트 계정이 피싱 되었다면, 그들이 여러분 회사에서 사용하는 패스워드도 내주지 않았다고 누가 말할 수 있을까요?

따라서 여러분은 온라인 비디오게임 플레이어들이 안전하게 온라인을 유지하는 것이 모든 사람들의 관심 속에 있다는 것을 알 수 있습니다.


댓글을 달아 주세요

  1. 잡다한 처리 2011.02.08 18:02 신고  Addr  Edit/Del  Reply

    이전에도 잇었죠^^ ㅎㅎㅎ