피싱(phishing)은 음성전화, 문자, 웹사이트등에서 공공기관, 은행 등을 사칭해 사용자로 하여 실제 기관등으로 오인하도록 하여 사용자의 금융정보, 개인정보등을 탈취 하거나, 입금을 하도록 하여 피해를 발생시키는 수법을 통칭한다고 보면됩니다.  


 개인정보를 (Private Data)를 낚시(Fishing)질 하는듯 빼간다는의미의 합성어 입니다.


 사기 형태에 따라 음성전화를 통해 이뤄지는걸 보이스 피싱, SMS 를 통해서 URL등을 전송 사기 사이트로 접속을 유도하거나 특정 악성코드를 다운로드 하도록 하는것을 스미싱(SMS + Phishing) , 금융기관 홈페이지 도메인에 매핑되는 IP 주소를 변조하여 가짜 사이트로 접속하도록 하는 파밍( Pharming ) 으로 나뉘는 것입니다.





큐싱(Qshing) 또는 큐리싱(QRishing) 이란?


  큐싱은 앞서 설명드린 피싱 공격을 QR 코드를 이용해 악성 코드앱을 다운로드를 유도하기 위해 악의적 URL를 연결하도록 하는 것입니다. 


큐싱은 보통 악성 앱을 다운로드 받을 URL 정보를 QR 코드 형태로 만들어서 사용자가 스마트폰을 QR코드를 읽게하여 특정 URL로 접속을 유도한뒤 앱을 다운받아 설치하도록 하는 방식을 이용합니다.  QR 코드를 사용한다는 점만 다를뿐  이후 동작 형태는 스미싱(SMS이용)과 동일합니다.


다음 그림 한국인터넷진흥원에서 소개한 큐싱 흐름도를 참고하세요.


위 그림을 보면 큐싱공격의 대략 흐림을 알수 있습니다. 취약사이트에 접속해서 PC에 1차 감염이 되어 PC에 파밍조작으로 인해 특정 악성 IP로 접속이 유도 됩니다 그리고 이때 아래 그림처럼 마치 금융감독원 공지사항같은 가짜 팝업이 뜹니다.



 

그리고 이렇게 가짜 팝업을 클릭하게 되면 아래그림처럼 2차 인증이 필요하다면서 QR 코드를 띄웁니다. 




  모든 화면이 너무 그럴싸 하기 때문에 속기 쉽습니다. 이렇게 나타난 팝업화면의  QR코드를 스마트폰에서 읽고 접속을 하게 되면 악성코드앱을 다운받는 경로로 연결되도록 하는 것이죠. 



QR코드로 인한 악성코드 다운로드 유도는 어디서든 가능합니다.  PC를 인터넷 웹브라우저를 통해 접속(할인쿠폰 , 본인인증 등)을 유도 할 수 도 있고, 길거리 전단지위에 큐알코드가 들어있을 수 있고, 큐알코드가 사용자에게 노출될 수 있는 형태라면 어떤 것이든 가능하기 때문에 사용자입장에서는 출처가 확실치 않다면 QR 코드 읽기를 안하는게 좋습니다.



큐싱, 스미싱을 차단 하려면?


  일단 스마트폰에서 구글 플레이같은 공인된 앱마켓이 아닌 다른곳에서 .apk 를 내려 받지 않도록 합니다. 그리고 혹 잘못알고 내려받더라도 실행하지 않도록 합니다. 실수로 실행까지 했다면 미련없이 공장초기화를 하는게 상책입니다. 


추가로 몇가지 스미싱/큐싱을 공격을 막기 위한 사항을 정리해봅니다.


'알 수 없는 소스 설치' 차단

    설정 보안에서 알수 없는 소스 설치는 차단으로 해야 합니다.


접속 URL을 체크 하는 모바일 백신 설치

  - 모바일 알약 ,모바일 어베스트(Avast Mobile) 등


 

가장 중요한건 PC, 스마트폰으로 인터넷 접속시에는 지금 내가 무엇을 하고 있는지를 정확히 인지를 해야한다는 점입니다. 내가 의도하지 않은 앱의 다운로드와 웹사이트 연결은 분명히 거부해야 합니다.


Posted by 퍼니로거 즐건록
IT/인터넷2013.04.07 12:38



   요즘 파밍이나 스미싱으로 인한 개인의 금융정보가 유출되어 자신의 모르는 사이에 은행 계좌에서 빠져나가거나, 뻔히 돈이 빠져나가는것을 알면서도 어찌 하지 못하는 상황에서 돈이 새나가는 피해가 발생하고 있습니다.


이들 둘의 차이점은 무엇이고,  어떻게 해야 예방이 될까요?



먼저 파밍(Pharming)  입니다.





1. 파밍의 공격 방식은?


  파밍은 사용자의 웹접속 경로를 비정상적인 유사사이트 경로로  유도되도록(도메인네임과 IP를 바꿔버리는)변조 공격방식 입니다.


 사용자는 평소와 다름없이 , 웹브라우져의 즐겨찾기나, 포털사이트를 통해 은행사이트를 검색해서 접속을 하지만 접속된 웹사이트는 사실 유사하게 만들어진 가짜 사이트입니다. 


     가짜 사이트에서는 다양한 문구로 (해킹위험 경고, 보안카드 내용 보호 필요) 등으로  보안카드를 전부 입력하게 한다던가. 공인인증서를 재발급 받도록 유도 하면서, 필요한 계좌의 비밀번호 입력을 유도 하여 금융거래에 필요한 정보를 가로채는 방법입니다.



2. 감염 경로는 ?


 2.1  불법(복제) 소프트웨어를 다운받아 사용시 (악성코드를 포함시켜 토렌토등으로 공격자가 배포)


 2.2  소프트웨어키 (시리얼넘버) 등을 생성시켜주는  키젠(keygen) 사용시 (악성코드가 작동)


 3.3  무료 성인사이트 광고 등 사용자 관심 사이트접속 시켜 프로그램 다운로드 유도후 악성코드 감염


 3.4  e-mail에 악성코드 감염 실행파일 포함 수신(신용카드 명세서 등)


 3.5 무료 스마트폰 게임앱 등으로  스마트폰에 감염 유도


악성코드가 감염된 프로그램을  사용자의 PC에서 실행되도록 다양한 방법으로 다운로드 유도.



3. 예방방법


 3.1  정상적인 소프트웨어 사용 및 출처를 알 수 없는 실행 파일의 사용금지.( PC , 스마트폰 모두 )


 3.2  웹사이트에서 프로그램 설치 유도시  습관적으로 [예] 버튼 클릭 금지. 신뢰할 수 있는 사이트의 프로그램만 설치


 3.3  웹메일에 첨부된 실행 파일 다운로드 금지


 3.4  보안이 잘된 웹메일 서버 사용 (gmail 추천)


 3.5 인터넷뱅킹은 2차 인증서비스 추가 신청하여  ( SMS 인증,  전화인증, PC  인증 등) 공인인증서나 보안카드 분실시에도 인터넷뱅킹 이체가 불가능 하도록 사전조치


 3.6 인터넷뱅킹의 해외사이트 접속 사단신청


 3.7 인터넷 뱅킹의 나만의 이미지 서비스 제공시 이용하여, 공격자가 유사한 사이트로 유도하더라도 나만의 이미지가 안보일경우 사용금지.


 3.8 인터넷 익스플로러(IE)보다  크롬웹 브라우저 사용을 권장하고, IE 사용시에는 최소 8.x 버전이상 사용할것.



   다음은 스미싱 입니다. 



1. 스미싱의 공격방식은?


  스미싱은 SMS + Phishing 을 말합니다. 전화를 이용한 보이스피싱이 음성으로 가입자에게 비정상적인 입금을 유도 한다면,  스미싱은  SMS를 통해 가입자를 유도  불법 사이트에 접속하게 하거나  악성코드가 감염된 앱을 다운로드 하여 설치되도록 유인 하는 공격입니다.

    요즘 많은 휴대폰 사용자들이 스마트폰사용 비중이 높다는 점을 악용한 공격인거죠.



2. 감염경로는 ? 


- SMS / MMS 를 이용한 비정상적은  URL 전송 ( 피자할인 쿠폰, 상품 당첨과 같은 문구로 유인 ) 


- 카카오톡이나 네이버라인 같은 요즘 많이 사용하는 메신저를 이용한 친구가입 유도 및 비정상 URL 수신.



3. 예방방법 ?


 - SMS/MMS 수신시 발송지 전화번호 반드시 확인


 - 신청한적이 없는 쿠폰이나 이벤트 당첨은 의심 및 별도의 PC등에서 본사 홈페이지등에 정확한 확인 필요


 - 출처를 알 수 없는 스마트폰 앱 설치차단, 멀웨어 차단프로그램 설치, 앱 설치시 사용자에게 요구하는 권한 반드시 확인 

 

 - 스마트폰은 악성코드공격이 아니더라도 항상 분실의 위험이 있으므로, 가급적 개인 신분증, 보안카드와 같은 이미지를 보관하지 않도록 하며,  어쩔 수 없이 저장이 필요하다면 암호화하여 보관하도록 한다.

 



정리..


  요즘은 PC 에서 네트워크를 통해 받은 프로그램을 실행하거나 문서를 열때에서 Windows 에서 경고의 문구가 뜹니다.  의례 보통은 무시하고 넘어가게 되지만.  이러한 순간이 위험을 내포하고 있음을 말해 주는 것입니다.   요즘은 백신프로그램을 많이 설치하고 웹브라우저등이 보안이 잘되어 있어 외부에서 직접적인 공격이 쉽지 않기때문에  사용자로 하여금 직접 실행을 유도하는 공격을 유도 하게 됩니다. 


 

파밍및 스미싱 뿐아니라 다양한 공격으로부터 


    나의 소중한 개인정보와 금융자산을  보호 하려면!!



1.  보안이 강화된 OS사용 (PC의 경우  XP보다 Windows 7이상 사용)


2. OS와 백신은 항상 최신으로 업데이트 , 웹브라우저도 최신버전 사용


3. 알 수 없는 길거리 WIFI 공유기 사용금지.


4. 출처를 알 수 없는 소프트웨어(앱) 사용금지,  정품소프트웨어만 사용


5. 스마트폰은 루팅이나 탈옥 금지 및 분실에 대비 개인정보 포함 사진보관 금지


6. 본인인증 차단 서비스 신청,


7. 입출금내역 통지 서비스 신청 및 해외사이트 차단신청


8. 해외여행시 임시 체크카드 사용


9. 불법 웹사이트 사용금지.


10. 중요도에 따른 사용자 ID및 암호의 다양화,  모든 사이트 동일 ID/비번 사용시 하나의 사이트 공격만으로 모든 개인 정보등 유출 가능


11. 암호화되지 않는 웹디스크 사용금지 및 중요 정보 보관 금지

 




Posted by 퍼니로거 즐건록