리팩토링 2주차 자유주제(피싱에 대하여)

리팩토링

idea5021 2024. 7. 30. 11:12

목차

1. 피싱&피싱사이트?

2. 피싱의 작동원리

3. 피싱 공격의 예

4. 피싱 피해사례 및 대응방안

1. 피싱&피싱사이트?

피싱 : 개인정보(Private Date)를 낚는다(Fishing)라는 의미의 합성어로 전화, 문자 등 전기통신수단을 활용하여 사회적 공학 기법을 사용하여 피해자의 개인정보나 금융정보를 빼내는 수법
피싱 사이트 : 피싱할 사이트와 유사하게 만든 가짜 사이트

2. 피싱의 작동원리

1) 피싱 사이트 제작

일반적으로 피싱 공격은 사칭하고자 하는 사이트와 동일한 디자인의 사이트를 제작하는데서 시작
보통 피싱에 이용되는 문구는 '보안경고' 같은 심리적 불안을 유도하여 계정을 입력하게끔 유도하며 피싱 도메인을 숨기기 위해 '단축URL'을 사용하기도 함

2) 피싱 사이트 유도

타이포스쿼팅(Typosquatting)

본래 이용하고자 했던 도메인과 살짝 다른 이름의 도메인을 등록하는 경우
ex) apple.com을 app1e.com 등의 이용자가 오타를 내거나 URL을 제대로 확인하지 않고 링크를 누르는 경우 공격자의 사이트로 연결됨

파밍

3) 계정정보 탈취

3. 피싱 공격의 예

팝업형 피싱

피싱 팝업 사이트	이용자가 사이트에 접근하였을 때 네이버 사칭 로그인 팝업 창이 뜨는 사이트
피싱 경유 사이트	피싱 팝업 사이트에서 로그인 팝업창을 로딩하는 사이트
계정정보 저장 사이트	실제 로그인 팝업창이 존재하는 사이트로, 해당 사이트에 이용자가 입력한 계정정보가 저장됨
공격지	계정정보 저장 사이트에서 계정 정보 파일을 수집하는 사이트로, 공격자는 공격지를 이용하여 다음 공격 대상 탐색

차이점 정리

	기존 포털 피싱 사이트	팝업형 포털 피싱 사이트
공격 방법	피싱 주소(단축URL 등)가 포함된 이메일이나 SNS 등을 통해 유포	피싱 감염 사이트에 정상접근
공격 대상	민간기업, 정부기관 대상 공격을 위한 포털 서비스 이용자(타켓형)	특정 기념일이나 취미, 관심 등이 동일한 포털 서비스 이용자(불특정 다수)
공격 목적	기업 내부침투 및 기관의 정보유출 등 목적	인터넷 사기 및 부정결재, 다크웹 재판매 등 금전적인 목적
인프라 구성	공격자가 인프라 비용 지불하거나 취약한 웹사이트를 대상 3단계(피싱 사이트, 계정 정보 저장 사이트, 공격지)로 구성	취약한 웹사이트를 대상으로 4단계(피싱 팝업 사이트, 피싱 경유 사이트, 계정정보 저장 사이트, 공격지)로 구성

4. 피싱 피해사례 및 대응방안

피해사례
- 인터넷 뱅킹을 가장한 보안카드 정보수집
- 이벤트 당첨을 가장한 개인정보 수집
- 경품 이벤트 당첨을 가장한 문자 메시지에 포함된 URL로 접속하여 전화번호, 집주소, 이메일 정보를 입력한 후 보이스 피싱 피해
대응방안
- 출처가 불분명한 이메일, 문자메시지, 블로그 등에 포함된 URL에 접근하지 않기
- 개인정보, 금융정보에 대한 입력을 진행할 때 홈페이지 주소의 자물쇠 그림 또는 도메인 주소의 철자 확인하기
- 경품 이벤트 등 무분별한 인터넷 이벤트 참여를 통해 개인정보 입력하지 않기
- 안전한 비밀번호를 사용하고 주기적으로 변경하기
- 공유기 보안설정 강화하기
- 다중(MFA) 사용하기

idea5021 님의 블로그

idea5021 님의 블로그 입니다.

idea5021 님의 블로그