안랩 ASEC은 최근 매일같이 기업사용자의 계정정보를 탈취하려는 피싱 사이트가 기승을 부리고 있는 것을 포착하였다최근에는 사용자를 속이기 위해 매우 정교해지고 있어 확인되지 않은 외부 URL 접근에 대한 각별한 주의가 필요하다.

[그림-1] 기존 유포 피싱 사이트

기존 피싱 사이트의 경우 상기 [그림-1]의 왼쪽 상단처럼 기업 로고만 도용하여 허술하게 제작되어 계정 입력란만 활성화가 되어있었다해당 사이트에서 연결된 페이지는 제작하지 않아 상기 그림의 빨간 박스안에 링크는 모두 비활성화 되어 클릭 되지 않는다해당 링크를 클릭시 다른 페이지로 연결되지 않아 사용자가 조금만 주의를 기울이면 정상적으로 서비스 되는 사이트가 아닌 것을 인지할 수 있었다하지만 비교적 최근 피싱 사이트는 사용자의 계정을 탈취하기 위해 정교하게 제작되어 URL을 확인하지 않는다면 비정상적인 것을 인지하기 어렵다.

[그림-2] 정상 사이트(), 피싱 사이트()

정상 사이트 URL

https://www.amazon.co.jp/ap/signin?_encoding=UTF8&ignoreAuthState=1&openid.assoc_handle=jpflex&openid.claimed_id=...

피싱 사이트 URL

https://www.identify-safe-amzn.com-restoring.com/ap/signin?_encoding=UTF8&ignoreAuthState=1&openid.assoc_handle=jpflex&openid.claimed_id=...


상기 그림의 사이트는 URL을 제외하고는 생김새부터 기능까지 모두 구현된 피싱 사이트이다. 사용자가 URL을 확인하지 않고 계정정보를 입력하게 되면 다음 화면은 개인 정보를 입력 받는다. 사용자가 인지하지 못하고 모두 입력하게 된다면 공격자는 원하는 계정정보부터 개인정보까지 모두 획득하게 된다.


[그림-3] 입력받는 개인정보 번역 전(), ()


최신 피싱 트랜드는 기업 계정을 대상으로 진화하였다. URL에 메일주소를 담고 있는 것이 특징이며 로그인 기한까지 적어 두어 사용자에게 빠른 계정 정보 입력을 요청하고 있다.


[그림-4] 기업 계정 로그인 유도


이전에 없던 추가된 기능으로 유효하지 않은 비밀번호(: 1111, 1234)를 입력할 경우 비밀번호가 일치하지 않다는 경고문까지 띄우는 정교함이 더해졌다.

[그림-5] 로그인 실패 화면


비밀번호를 길게 입력할 경우 정상적으로 로그인이 되었다고 표시해주며, 기존에는 [그림-4] 화면으로 돌아갔으나, 최신 피싱사이트는 완벽을 위해 메일 뒤 주소로 리다이렉트를 해준다.

이메일

리다이렉트 URL

test@ahnlab.com

ahnlab.com

[-1] 리다이렉트 예시


[
그림-6] 계정 정보 탈취 후 리다이렉트 되는 정상 사이트

상기 그림과 같이 계정 정보 입력 후 정상사이트가 노출되기 때문에 사용자는 자신의 정보가 탈취된 지 인지하기 어렵다이와 같이 피싱 수법은 지속적으로 진화하고 있어 발신자가 불분명한 의심스러운 이메일이나 확인되지 않은 링크에 대해서는 열람하지 않도록 사용자의 각별한 주의가 요구된다.

Posted by 분석팀