나날이 위험한 개인정보, 스미싱의 이것저것

#Intro

최근 다음과 같은 뉴스를 많이 접한 적이 있나요??

위 뉴스기사는 이메일 피싱에 관한 것으로, 개인정보 탈취를 목표로 두고 있는 해킹기법인 스미싱입니다. 

 

요즘 택배, 업무등을 사칭하여 스미싱 문자&메일이 많이 오고 있는데 경각심을 키우기 위해 글을 작성했습니다

그래서 스미싱 문자 유형과 실제 사례등을 정리했습니다!

 

#실제 예시

누구나 한번 쯤 받아봤을 스미싱 문자&메일 

어떤 종류가 있을까요??

 

택배문자인것 처럼 위장하여 가짜링크를 건 메시지

 

 

벌금 청구서 처럼 보이는 문자 스미싱

사용자를 속일만한 정보를 가져와야하기 때문에 시간대별로, 시기별로 스미싱의 내용이 다르다는 특징이 있습니다.

 

그중에서 제가 몇개 뉴스기사를 추려서 가져왔는데요. 다들 이런 메시지 한번 쯤은 받아보셨나요?

 

1. 코로나 스미싱

www.greenpostkorea.co.kr/news/articleView.html?idxno=121491

2차 재난지원금 사칭 ‘피싱 사기’ 주의…클릭하면 즉시결제 이뤄져

biz.newdaily.co.kr/site/data/html/2020/12/08/2020120800008.html

사이버 공격 유형 패턴 변화... '코로나·비대면' 위협 기승

www.hani.co.kr/arti/economy/it/949517.html

“긴급재난지원금 사칭 개인정보 탈취 주의”

 

2. 대통령 투표 스미싱

www.asiae.co.kr/article/2020011209174203934

공정위, 국세청, 택배 이어 선관위도 사칭…진화하는 스피어 피싱

 

3. 비대면 어플을 통한 스미싱

www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002695608

"화상강의 앱 해킹, 동영상 찍었으니 돈 보내"... 피싱 조심하세요

mnews.imaeil.com/SocietyAll/2020120316243677881

"신분증·신용카드 사진 보내라"…대구 첫 비대면 보이스피싱 - 매일신문

# 스미싱의 특징

1. 애매모호한 호칭으로 시작한다.

구체적인 명칭을 적지 않고 모호하게 말합니다. 위에 사진 보시면 "신호위반 청구서 내역" 이라고만 적혀있지 어떤 경찰서인지, 어떤 신호위반인지 자세하게 적혀있지 않습니다. 왜냐면 url 을 클릭하도록 유도를 해야하기 때문입니다.

 

2. 꼭 url을 첨부한다★★

url을 클릭하게 유도하는 것이 스미싱의 목적이므로 같이 첨부합니다. 따라서 인터넷 링크 주소가 함께 온다면 절대로 링크를 클릭하지 마세요!!

 

 

 

# 앞으로 어떤 스미싱 문자가 나올까?

스미싱은 사람들이 눌러볼만한 정보를 이용하는데요 본인이 눌러볼만한 스미싱 문자는 무엇이 있을까요??

자유롭게 스미싱 문자를 만들어보아요!

 

 

 

---

#스미싱이란?

스미싱(Smishing)이란 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 사용자가 의도하지 않은 특정 페이지 접속 및 악성 앱을 통해 스마트폰을 감염시키고, 그에 따라 사용자 정보탈취 및 소액결제, 기타 추가로 발생할 수 있는 악성 행위를 총칭합니다.

 

스미싱 문자의 링크를 클릭하게 되면 대부분 안드로이드 앱 설치파일인 apk파일로 연결이 되어 앱이 설치됩니다. 최근에는 사용자도 모르는 사이에 설치가 되어 업데이트를 유도하면서 악성코드가 피해자의 스마트폰 기기안에 침투하게 됩니다. 이를 통해 소액결제를 유도하거나 개인정보를 빼내어 금융 피해를 볼 수 있습니다.

 

여러 악성 메일 공격 기법 중에 Tabnabbing 피싱 공격에 대해 다뤄보겠습니다.

 

#Tabnabbing 피싱 공격

 

Tabnabbing 피싱 공격이란?

 

새롭게 열린 탭에서 원래 사이트 처럼 위장한 피싱 사이트로 변경하여 정보를 탈취하는 공격 기술을 뜻합니다.

글만 읽으면 어려우니 아래로 가서 천천히 따라가봅시다.

 

---

시나리오를 하나 그려볼까요?

공격자가 네이버 계정을 탈취할 목적으로 여러분에게 세일 정보를 담은 메일을 보냅니다. 그 메일에는 [자세히 보기]라는 외부 링크가 포함되어 있습니다. 물론 이 세일 정보는 가짜지만 공격자에겐 중요하지 않습니다. 메일을 읽는 사람이 유혹에 빠져 링크를 클릭하면 바로 해커에게 넘어갑니다.

 

(상단의 주소를 주목해주세요)

 

쉽게 말하자면, 링크를 통해 가짜 사이트를 띄우고 그 사이트에 로그인을 하면 정보가 넘어가는 방식입니다.

위와 같은 식으로 개인정보가 쉽게 탈취가 가능합니다. 이제 자세하게 어떻게 동작되는지 알아볼까요?

---

# 자세한 동작원리

1) 사용자를 속일 수 있는 피싱 페이지를 메일로 전송

 

공격자는 공격대상에게 클릭하고 싶을 만한 문구로 링크를 생성하여 메일을 전송해 사용자의 접속을 유도한다. 해당 링크는 공격자가 생성해둔 가짜 사이트가 표시되는 동시에 로그인 되어 있는 부모 탭의 사이트를 해당 사이트와 비슷한 피싱 페이지로 이동하는 코드로 이루어져 있다.

 

[그림 3] 공격대상에게 보낸 페이지 코드(hack.html)

 

 

 

 

[그림 4] 공격 대상에 피싱메일 전송

 

 

2) 피싱 사이트로 접속 시 새 탭이 열리는 동시에 원래 페이지(부모 탭) 페이지 이동

 

공격자가 임의의 페이지로 연결하도록 변조한 링크가 포함된 메일을 일반 사용자가 수신하게 되고 일반 사용자가 해당 링크를 클릭하게 될 경우, [그림 4-6]와 같이 공격자가 만들어둔 잘못된 페이지이므로 돌아가라는 문구가 삽입된 페이지로 연결된다. 이와 동시에, 로그인 되어있던 페이지(부모 탭)는 공격자가 해당 사이트 재 로그인 페이지와 비슷하게 만들어둔 피싱 페이지로 이동된다.

 

[그림 5] 일반 사용자에게 링크가 포함된 메일 수신

 

 

[그림 6] 링크 클릭 시 보이는 화면

 

 

 

3) 원래 로그인 되어 있던 메일 사이트를 비슷하게 만들어둔 피싱 페이지로 이동 

 

일반 사용자는 잘못된 페이지라는 문구가 담긴 페이지를 보고 다시 메일 확인 탭으로 돌아가게 되는데, 이 탭은 공격자가 심어둔 코드에 의해 실제 사이트의 로그인 페이지와 유사한 형태를 가진 피싱 페이지(http:// 192.168.86.129/index.html)로 이동한 상태이다.   

 

[그림 7] 실제 사이트와 유사한 피싱 페이지

 

 

 

 

4) 사용자가 가짜 페이지에 재 로그인 시도

 

공격자가 실제 사이트와 유사한 형태로 만들어둔 페이지로 이동된 탭에서 사용자가 피싱 페이지임을 인지하지 못하면 로그인을 시도하게 되고 해당 계정이 공격자의 서버로 전송된다.

 

[그림 8] 가짜 페이지에서 사용자 로그인 시도

 

 

 

 

5) 로그인 된 사용자의 계정이 공격자의 서버로 전송 

 

사용자가 피싱 페이지에 로그인을 시도하게 되면 공격자의 서버로 해당 아이디와 패스워드가 전송되어 공격자가 지정해둔 파일명에 사용자의 계정 정보가 저장됩니다.

 

[그림 9] 공격자의 서버에 전송된 일반 사용자의 계정 정보

 

 

 

[그림 10] 사용자의 계정이 공격자 서버로 전송되는 공격 코드

 

 

 

6) 실제 사이트로 리다이렉트 

 

사용자가 로그인을 시도하면 계정정보가 공격자의 서버로 전송되고, 피싱 페이지에서 실제 사이트로 리다이렉트 되므로 사용자는 피해를 인지하기 어렵다. 

 

[그림 11] 로그인 시도 후 정상 사이트 화면

 

 

 

---

# 예방방법은??

1. 이메일, 카톡 등  '링크'는 꼭 주의해서 확인하세요! 

최근 택배, 쇼핑몰 등에서 문자와 카톡으로 관련 메시지를 보내는 경우가 많아졌습니다. 해커들이 이러한 점을 악용해 스미싱 사기를 치는 경우가 최근 빈번하게 발생하고 있습니다. 그렇기 때문에 출처가 의심되는 메시지의 링크는 절대 클릭하지 마세요! 

2. 중요 이메일이라면 보낸사람의 주소를 확인하세요!

가짜 이메일로 보내기 때문에 ****@naver.com 이 아닌 *****@naver.net 등의 변형해서 보냅니다. 중요한 이메일은 전체 이메일 주소를 확인해보고 의심가는 이메일은 읽지 마세요!

 

 

3. 항상 http, https를 확인하세요

실제 페이지와 아주 흡사하게 꾸민 가짜페이지로 로그인을 유도하기 때문에 항상 http 인지 https 인지 확인하세요!

https는 http + security 이므로 더욱 안전합니다.

 

 

4. 감염 되었다면 신고부터하세요!

혹시, 이메일 열람 후 링크를 클릭하여 악성코드나 바이러스 등 컴퓨터에 이상징후가 보인다면 즉시 KISA 불법스팸대응센터에 신고하세요! spam.kisa.or.kr/integration/main.do

---

# 마무리

지금까지 스미싱의 원리 및 대응방법에 대해 공부해보았습니다.

블로그 내용이 어땠나요? 

다음에 스미싱 문자가 온다면 잘 대처할 수 있나요??

 

 

 

# 퀴즈

퀴즈로 얼마나 악성메일에 잘 대응할 수 있는지 알아봅시다!

 

# 설문조사

다음의 더 나은 컨텐츠를 위해 투표해주세요!

 

 

 

이상으로 스미싱에 관한 포스팅을 마치겠습니다!

 

 

# 다음의 포스팅

랜섬웨어에 관한 포스팅을 진행할 예정 입니다. 

최근 22일 이랜드 회사에 랜섬웨어 공격을 받아 점포의 절반 가량이 휴점을 하거나 영업 피해를 입었는데요

랜섬웨어는 파일을 암호화 한 후, 돈을 요구하는 악성코드 입니다.

 

 

 

다음 포스팅을 기대해주세요^~^

감사합니다