악성코드 유포지를 검사하던 중 피싱사이트의 발견으로 간략하게 정리합니다. 이 유포지 서버는 공다팩을 이용하여 악성코드를 유포하는 유포지었습니다. 어느순간 악성코드 유포를 중단하고 IBK 기업은행 피싱사이트로 변신하고 있더군요. 그런데.. 다음날에는 NHBank(농협)피싱사이트로 또 한번 탈피하고 있었습니다. 하루만에 뚝딱뚝딱 만드는 것 같아요.
[그림1. IE로 접속한 NHBank 정상사이트]
[그림2. 크롬으로 접속한 NHBank 정상사이트]
저는 크롬으로 인터넷을 하기 때문에 피싱사이트와 크롬으로 접속한 사이트가 매칭이 안되서, "제작자가 잘못만들고 있나?" 싶었습니다.
[그림3 NHBank 피싱사이트]
부분적으로 서버를 찾을 수 없다면서 보여지고 있는게 딱 보아도 피싱사이트임이 틀림없습니다.
[그림4 피싱사이트 기본정보입력 구간]
피싱사이트의 특징을 몇가지 나열하자면, 제가 직접 장난쳐본 피싱사이트들에는 "보안승급"이라는 단어는 거의 필수로 들어갑니다. 또한 이름과 주민번호가 필터링 없이 사용되며 확인누르면 다음페이지로 넘어갑니다.
[그림4 피싱사이트 Alert창]
다른 페이지로의 링크를 클릭하면 위와 같은 문구가 뜹니다. 정상사이트는 보안모듈 설치 외에 어떠한 제제도 하지 않습니다.
[그림5 가짜 보안프로그램 다운로드 Alert]
악성코드 다운로드를 말하는 것이 아니라 이 창은 뜨지만 글자입니다. 어떠한 링크도 따라가질 않습니다. (수동설치, 설치진단가이드 등 button기능 자체가 없음)
[그림 6 시크릿 카드 입력구간]
모든 피싱사이트의 가장 보편적인 모습이죠. 시크릿 카드 전 구간 입력을 요구합니다. 순도 100% 피싱사이트임을 알 수 있는 부분이죠. 또한 이 부분을 지나가면 인증서 비밀번호와 인증서를 가로채기 위한 악성코드 설치 페이지로 넘어가는데, 이번에 발견한 농협 피싱사이트는 피싱사이트의 전체구간을 구축해 인증서 가로채는 구간으로 넘어가지는 않습니다.
최근들어 피싱(Phishing), 파밍(Phashing), 스미싱(SMishing)같은 금융계통 해킹이 심각한 위협으로 급부상 하였는데, 파밍에 쓰이는 악성코드 감염이나 피싱사이트 제작을 개인단위에서 막기엔 불가능하다고 생각되지만, 피싱사이트의 몇몇 특징들만 파악하더라도 피해를 입지 않을 것으로 생각합니다.
'Information Security > Abuse & Fraud' 카테고리의 다른 글
| 악성 DDNS (Malicious DDNS) (0) | 2015.03.19 |
|---|---|
| 인스턴트 메시징(IM) 해킹 당하다. (0) | 2015.02.02 |
| Mass SQLi의 흔적과 Domain Parking 서비스 (3) | 2013.10.28 |
| Poisoned adverts (0) | 2013.09.20 |
| 우리은행 피싱사이트 (0) | 2013.01.10 |
