본문 바로가기
  • True knowledge exists in knowing that you know nothing. -Socrates-
web

피싱 미학

by intadd 2021. 1. 15.

 

안녕하세여

토큰 코딩????

오랜만에 글을 공개해봅니다.

기존에 공부하면서 작성중인 다른 글들이 많은데 아직 완성되지 않아 비공개가 많네요 ..

그럼에도 불구하고 오늘은 피싱의 미학에 대해서 작성해볼 까합니다. 

참고로 본 글은 기술적인 부분은 조금만 다루며,  비전공자의 예방 차원으로 작성해보겠습니다. 중학교 정보시간 난이도

 

Free HongKong ??? ㅋㅋ 참고로 저 아닙니다...

피씽이 뭐임?

컴퓨팅에서, 피싱(phishing)은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호  신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’(phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어이다

- 우드 위키 - 

라고 합니다.  의미는 저도 처음안거 같습니다. 결론은 Fishing (낚시) + Private data 합성어라고 합니다.
즉, 해커?가  Private data를 얻기 위해서 사용자를 속이는 방법이라고 생각하면 될 것같습니다.
Private Data 보다는 요즘은 금융에 관한 범죄가 더 많겠죠?


그러면 피씽의 종류를 알아보겠습니다.

1. 보이스 코리아 피싱

일단 보이스 피싱이 있습니다.  대중적으로 너무 유명한 범죄이기 때문에 다들 아실 것이라고 생각하십니다. 
최근 좀 재밌는 기사가 있던데, 보이스 피싱에 사용할 유심을 어떻게 생산하는가 입니다. 

https://news.joins.com/article/23868659 (중앙 일보)

흥미롭게, 피싱을 걸기 위한 유심 공급이 확인된 케이스가 있습니다.

1)  외국인 여권 이용 유심 + 전화번호 개통 (알뜰폰)
2) 직접 방문한 것은 아닌것 같고 텔레그램으로 대리점 측에 전달(여권 정보)했다고 합니다. 
3) 중간책을 거쳐 중국 "보이스 피싱 총책" 에 전달.

근데 여기서 이분들은 개통된 유심이 위치가 추적되는지 확인하기 위해 "119" 에 신고 전화를 했다고 합니다.
본인이 강금당했다고 신고를 했다고 하더라구요. ㅋㅋㅋㅋㅋㅋ
저는 개인적으로 "한국에서 개통은 안하겠지?" 라고 생각을 했는데, 중국 보다는 한국에서 개통이 더 쉽나 봅니다.

(뇌피셜) 관련 규제나 법이 미흡한 것 같습니다. 

여기서 중요한 점은 유심이 한국에서 개통 되었기 때문에, 보이스 피씽 혹은 스팸 문자 등과 같은 발신자가 한국 번호일 수 있다는 겁니다. 주의하십쇼.

이런 식으로요 (+82)

보이스 피싱이라고 해봤자, 간단하게 조선족 형님들의 어눌한 '한국어 검증시험'으로 생각했었는데,
요즘은 기법이 좀 더 발달된 것 같습니다. 

https://www.chosun.com/national/regional/yeongnam/2020/11/04/HGFEZEFYLRGCPDLJZ3TFTUUP4A/

조선일보 보이스피씽 관련 기사인데, 중국에서 보이스피싱 사무실에서 발견된 가짜 검사 신분증이라고 합니다. 

가짜 검사 사무실을 꾸며 영상통화를 하거나 중국에서 국내 피해자와 통화를 하면서 인터넷 위성 지도 등을 통해 피해자 위치를 파악하고 ’주변 000커피숍으로 들어가 전화를 받아라'는 등의 지시를 하기도 하는 등 치밀하게 범행을 저질렀다.
 www.chosun.com/national/regional/yeongnam/2020/11/04/HGFEZEFYLRGCPDLJZ3TFTUUP4A/

이러면 저도 속을꺼 같습니다. 

이렇게 검찰 선생님들이 전화나 요청이 오면 아래와 같이 확인 해보면 됩니다. 

서울중앙지검은 29일 인권감독관 산하에 ‘보이스피싱 서류 진짜인지 알려줘 콜센터’(약칭 찐센터)를 개설했다고 밝혔다. 찐센터는 보이스피싱에 쓰인 검찰 관련 서류를 직접 확인하고 진위 여부를 안내하는 신설 콜센터다. 의심스러운 번호로부터 받은 서류를 휴대전화로 찍어 찐센터 직통번호 ’010-3570-8242′(빨리사기)로 보내거나 전화해서 문의하면 365일, 24시간 담당 수사관들이 서류 확인 뒤 진위 여부와 검사실 소환, 조사 여부를 안내해준다. - www.chosun.com/national/court_law/2020/09/29/X5I3MN75V5EAZB4J5W27PBWWKM/

이와 같이 확인해 보면 됩니다.  아무튼 무섭네여.. 

보이스 피싱의 특징은 '급박한 상황을 연출' 한다 입니다.  또한, '통화 종료를 꺼린다.' 이지 않을까 생각합니다. 
급박한 상황을 연출하는 것은 아마 피해자를 당황하게 해서 이성적 판단을 흐리게 하는 목적일 것으로 예측합니다.
또한, '통화 종료'를 꺼리는 이유는 피해자가 다른 방법으로 보이스 피싱을 확인하는 것을 방지 목적으로 예측합니다.

해킹 기법이라기 보다는 사기에 더 가까운 편이라, 접근 방법을 예측하기는 무리가 있습니다.
현실적으로 어떤 방식으로 접근할지 모두 예상할 수 없습니다.
하지만 목적은 모두 동일합니다. "금전적 이득" 혹은 "Private Data" 수집입니다. 전자가 아마 대부분일 것 입니다.
방법을 예측하여 방지하는 것보다는 통화 목적을 확인하여 방지하는게 더 좋을 것 같습니다 .

2. SMS 피씽 (스미싱)

스미싱은 SMS 와 Fishing 의 합성어입니다.  문자로 웹 사이트 URL을 보낸뒤, 악성 앱을 설치하거나 추가 작업을 한다고 합니다.  케이스는 아래와 같습니다. (KISA)

https://www.boho.or.kr/cyber/smishing.do

일반적으로, 스미싱에서는 타겟을  속이기 위해 URL을 줄이는 기법을 많이 사용합니다. 

예를 들어 제 홈페이지 주소는 http://intadd.kr 입니다.
이 주소로 들어가면 제 홈페이지로 이동되게 됩니다.  이 주소를 육안으로 다른 URL처럼 보이게할 수 있습니다. 
대표적으로 "bitly" 서비스를 많이 이용합니다. 

https://bitly.com/

이 서비스는 별도 로그인이나 별도 작업 없이 이용할 수 있습니다.
본래 서비스 목적은 긴 URL을 짧은 URL로 대체시키기 위해 개발되었는데, 악용되는 사례가 많습니다. 

 

bitly 사용 예시

컴쟁이들을 위한 패킷 

301 redirect

해당 URL의 패킷을 확인하면, location 헤더에 제 URL이 명시되어 있습니다. 
이런한 방식으로 간단하게, 해커?의 URL을 육안으로 숨길 수 있습니다. 

예시를 보면, 생성된  bit.ly/2LVKyXd 로 접속하면 http://intadd.kr 주소로 리다이렉트(이동) 시킵니다. 

이렇게 보니까 제 홈페이지가 악성 사이트 처럼 생겼었네여  내용은 좋은 내용입니다..;; 


bit.ly 로 시작하는 모든 URL들이 위험한 사이트는 아닙니다. 정상적으로  사용하는 회사들도  매우 많습니다.
일단 SMS 문자로 수상한 문자가 왔고, 이 형태가 bit.ly 로 시작하거나,  shorturl.at 으로 시작면 스미싱을 의심해 봐야합니다. (shorturl.at 도 동일한 기능을 수행하는 서비스입니다. ex. shorturl.at/zLRV9)

스미싱의 경우에는 URL에 피싱 사이트를 걸어두거나, 악성 앱을 설치하는 URL을 전송하는 경우가 많습니다.
피싱 사이트는 아래에서 다루도록 하고, 악성 앱 설치에 대해서 말 해보겠습니다. 

해당 URL에 접속한다고 해킹을 당한것인가? 

물론 가능합니다. (작성하고 있는 Chrome RCE + ransome글이 완성되면 링크 걸어두겠습니다.)
하지만, 기술적 난이도가 매우 높기도 하고, 웹 사이트에 접속하는 "브라우저" 프로그램 종류와 버전에 따라 
해킹을 위한 준비 사항이 많기 때문에, URL에 접속만 한다고 해킹을 당할 확률은 조금 희박합니다.

그래서 "사기"를 조금 섞어 공격  준비 난이도를 조금 낮출 것으로 생각됩니다.
사용자가 직접 URL에서 "악성 앱"을 다운받게 하거나 "악성 앱을 실행"하게 합니다.
만약 악성 앱을 다운 받아 실행시켰다면... 문제가 복잡해 집니다.

" 해커가 올려둔 악성 앱이 어떤 목적으로 개발되었는지 모릅니다. "

특히 악성 앱을 개발한 개발자의 목적을 알 수 없습니다.
리버싱을 해서 알 수 있겠지만, 피해자 입장에서는 현실적으로 악성 앱의 악성 행위를 특정하기는 힘듭니다. 

단순히 개인 정보를 탈취 목적이거나, 금전 탈취 목적일 수 있습니다. 

만약 본인이 악성 앱을 실행했거나 의심되면, www.boho.or.kr/cyber/smishing.do 하단에 작성된 방법을 이용해야합니다. 

[요약]
1)  악성 앱 삭제
2) 모바일 결제 확인 및 취소
3) 공인인증서 폐기 
4) 지인들에게 알리기
+) 신고하기 


이런 스미싱을 예방하기 위해서는

1) 의심되는 URL을 방문하지 않는다.
2) 모바일 백신을 설치한다. 입니다.
PC에는 일반적으로 백신을 많이 설치하시는 것 같은데, 모바일에서는 백신을 잘 설치하지 않는 것 같습니다.
(물론 저도 설치 안되어 있습니다. ㅋㅋ)

3. 메신저 피싱 

스미싱과 비슷하지만, SMS가 아닌 메신저를 이용하는 방법입니다. 제 생각으로는 SMS 시대에서 메신저 시대로 넘어오면서,  메신저 피싱이  많이 발생하는 것 같습니다.
메신저 피싱의 예시는 단순합니다. 

가족 혹은 지인으로 가정해 일단 찌르고 본다 전략인것 같습니다. 
요즘 카카오톡에서는 해외에서 보낸 메신저에 대해서는 alert를 해줬던 것 같습니다.

SMS와 보다는 메신저 프로그램을 통해 발생하기 때문에, 예방법은 그나마 쉽습니다.
새로운 친구에게 메시지가 오면, 카카오톡과 같은 경우는 아래와 같이 채팅방 상단에 메뉴바가 생성됩니다. 

일단 이 방법을 통해서, 내가 알고 있는 지인 계정과 '이름이 같아도' 동일한 계정이 아니라는 것을 알 수 있습니다.  (별표)
또한, 가장 확실히 확인하는 방법은 "통화"를 통해 실제 지인인지 확인하는 방법입니다.
꼭 이체를 요청하는 것 외에 "문화 상품권" 등과 같은 상품권 결제를 요구할 수도 있습니다. 

여기서 조금 흥미로운 점은 "문화 상품권"을 요구입니다. 
그 이유는, 문화 상품권 같은 경우에는 추적하기 상당히 어렵기 때문입니다, 
문화 상품권 같은 경우에는 피싱 케이스 보다는 "N 번방" 사건에 사용되었기 때문에 더 유명합니다.

문화 상품권에는 고유 "PIN" 번호가 있는데, 이 PIN 번호만 알면 이 PIN 번호를 통해 물품을 구입하거나 
교환할 수 있습니다.  피해자가 문화 상품권을 구입해서 이 PIN 번호를 전송하면, 돈을 이체하는 것과 같은 효과입니다.
랜섬웨어 같은 경우에는 추적을 피하기 위해 비트 코인 지갑 주소를 많이 사용하는데, 이 비트 코인 지갑으로 돈을 보내는 것은 아마 피해자들 에게는 익숙하지 않아 문화 상품권을 많이 사용하는 것 같습니다.

비트 코인과 마찬가지로 문화 상품권을 통해 현금화 하지 않았으면, 사실상 해커?를 추적하기에는 힘듭니다.

https://news.lawtalk.co.kr/2217


메신저 피싱에서 URL를 통해 스미싱과 유사한 공격을 할 수 있습니다.
메신저 프로그램 같은 경우에는 URL에 대한 미리 보기? 와 같은 정보를 제공하기 때문에 속이기 더 쉽습니다.
위험성을 보여드리기 위해 정말 간략하게 테스트를 해보겠습니다.

카카오톡을 통해 URL을 전송하면 위와 같이 자동으로 미리보기를 제공합니다. 
이 미리보기도 URL에서 가져온 데이터로 구성되기 때문에, 물론 변경할 수 있습니다.

이 미리보기와 같은 효과는 웹 사이트를 구성하는 언어인 HTML 중 meta 테그를 이용하여 구성됩니다.

간단히 네이버와 동일하게 메타 데이터를 구성할 수 있습니다. 
얼마나 손쉽게 구현할 수 있는지에 대해서 설명드리면, 

네이버 페이지 소스에서 meta 태그를 복사합니다.
이후, 제 홈페이지의 특정 html에 복사합니다. 

저장합니다.

이후 해당 URL을 메신저 프로그램에 전송합니다.

이렇게 되면, 카카오톡 메신저는 해당 URL의 meta 데이터를 가져와 출력하게 되므로 네이버와 동일하게 출력되게 됩니다. 이는 사용자를 속이기 매우 쉽습니다.

조금 응용해본다면, 사회 이슈를 이용하여 메신저 피싱을 구성할 수 있습니다.
위 방법으로 메타 데이터를 구성한 뒤, html을 조금 수정하고,  bitly 로 URL를 변경하면 됩니다.

상당히 위험해보이도록 구성할 수 있습니다.
카카오톡 메신저 뿐만 아니라, 다른 메신저 프로그램 혹은 웹 사이트에서도 이 메타 데이터를 이용하여 미리보기?를 구성하기 때문에 사용자들이 속이기 쉽습니다.

디스코드 메신저 예시

메신저 피싱과 같은 경우는,
메시지 전송하는 대상의 "계정"이 신뢰할 수 있는 계정인지를 판단하는 것이 가장 중요합니다. (별표)



4. 피싱 사이트  + 스펨 메일

스팸 메일을 통한 피씽은 아래 글에서 잘 확인할 수 있습니다.
(제 블로그 글입니다... ㅈㅅ)

 

똑똑, 스팸메일입니다. (분석기)

안녕하세요 정말 오랜만입니다. 6전공 + 학교 과제 + 개발 + 프로젝트 팀빌딩과 싸우는라 글쓰는 시간이 없네요. (개인 공부할 시간도 부족한..) 지금도 물론 과제를 하고 있지만, 딴짓을 조금 할

intadd.tistory.com

 

견적서 혹은 이력서 등과 같이 .html 혹은 .htm 과 같은 확장자를 첨부파일로 보내는 경우와, 
유명한 사이트의 홈페이지를 그대로 구현하여 해커?의 서버에 올려두는 경우가 있습니다.

제가 받아본, 스팸 메일에 있었던 피씽 파일입니다. 
육안으로 봤을 때 실제, 네이버 홈페이지와 구분하기 매우 힘듭니다. 
그 이유는 피싱 사이트를 제작할 때 대상 홈페이지에서 제공하는 html 을 그대로 사용했기 때문입니다.

만약 위 피싱 사이트에 접속하여 아이디와 패스워드를 입력했다면,

해커의 서버로 해당 아이디와 패스워드가 전송되는 원리입니다. (http://~~~~~~~~/des.php)

이런 피싱 사이트는 URL 잘 확인하면 예방할 수 있습니다.

접속한 홈페이지의 URL을 잘 확인하시면 됩니다. 

일단, 이 URL은 첨부파일 형태로 제작된 피싱 사이트입니다. 정상적이라면,  아래와 같습니다. 

로컬 파일 (/Users 와 같은)로 첨부된 html 들이 모두 피씽 사이트는 아니지만, 첨부 파일로 .html을 전송하는것은 일반적이지는 않습니다.  (일반적으로는 운영중인 홈페이지의 서버 URL 을 제공합니다. )

만약 스팸 메일의 피싱 파일이 첨부파일 형태가 아닌 Online URL 형태  또한, URL 을 잘 확인하여 정상 사이트인지 아닌지를 구별할 수 있습니다.

bitly 로 변환된 URL도, 해커?의 홈페이지로 이동한 뒤의 URL은 실제 해커?의 URL이기 때문에, 피싱 사이트를 판단하기 위해서는 이 "URL"을 잘 확인해야합니다. 

 

 

만약, 어떤 방법이 되었든, 피싱이 의심된다면 , www.krcert.or.kr/consult/phishing.do KISA(인터넷 진흥원)으로 신고 ㄱ ㄱ..... 화이팅...ㅜ 

끝.

 

 


 

사실 좀 더 철학적인 측면에서 제 생각을 많이 쓰고 싶었는데,,, 그래서.. 피싱의 미학으로 제목을 지정했는데..
쓰다 보니 피싱 기법이나 예방법에 대한 글이 되어 버렸네여..


피싱은 해킹 기법 중에 사회공학기법에 해당됩니다. 저는 개인적으로, 해킹? 기법이라고 보기보다는 "사기"에 더 가깝다고 생각합니다.
피싱을 예방하기 위해서는 평상시에도 '의심'을 해야하는 상황이 참 안타깝습니다.

어쩌면  '피씽은 IT 기술이 개발되면서 자연스럽게 생겨난게 아닌가?' 라는 생각을 합니다. 
단지 사기라는 방법이 "구두와 오프라인" 에서 "네트워크를 타고" 수행으로 변형된게 아닌가 싶습니다.
과거와 현재에도 방법만 달라졌지 여전히 "속이는 사람"(사기꾼)은 있는 것 같습니다.

일반 사람들은 "어떻게 잘 속지 않을까"를 생각하지 않지만, 사기꾼들은 평상시에도 "어떻게 잘 속일까"를 생각하기 때문에,
어쩌면 피싱 범죄에 대한 종결은 없을 꺼 같습니다.

 

 

조금이나만 이 글을 통해 피싱의 피해액이 줄었으면 하는 바랍니다. 피쓰~

댓글