과거부터 공격자는 유명 사이트와 유사한 피싱 사이트를 만들어 이메일, SMS, 게시판 등의 수단으로 개인정보, 금융 정보를 탈취하는 악의적인 수법을 사용해왔습니다.
버라이즌(Verizon)의 ’21 데이터 침해 조사 보고서에 따르면 침해의 36%가 피싱과 관련되어 있다고 발표했는데, 이는 피싱 수법이 침해 사고에 얼마나 많은 비중을 차지하고 있는지 알 수 있는 지표입니다.

누구라도 흔히 경험할 수 있는 피싱 시도의 일반적인 예시는 아래와 같습니다.

  • 유명하거나 평판이 좋은 회사와 유사한 발신지 사용
  • 웹 브라우저 주소창에 정상적인 서명 블록이 없음
  • 잘못된 문법, 문장, 맞춤법 오류 및 일관성 없는 형식의 내용
  • 파일 다운로드, 링크 열람 등을 긴급, 중요성이란 표현으로 강요함

AI Spera는 피싱 사이트 여부를 분석하고 정상 혹은 악성 Domain 여부를 판단하여 피해를 최소화할 수 있는  Criminal IP(CIP) Domain Search을 제공하며, 보안 담당자의 기술 및 지식 수준과 상관 없이 피싱 사이트를 빠르고 정확하게 분석할 수 있습니다.

보안 담당자라면 회사 임직원으로부터 아래와 같은 이상 메시지를 수신했다는 신고를 접수 받은 경험이 있을 것입니다.
신고 접수 후 더 이상 피해가 발생하지 않도록 신속히 해당 Domain을 차단하고 상세 분석을 통해 후속 조치를 취해야 합니다.

피싱사이트를 포함한 메세지

Domain Search를 통해 의심 Domain을 분석한 결과 Domain Scoring이 Critical 등급인 심각 수준으로 확인되었습니다.
분석 Summary에서 Suspicious Length 속성이 30자 이상의 길이를 가지고 있는 것으로 확인됐고 악성코드 삽입에 즐겨 사용되는 iframe 태그가 존재하고 있습니다.

또한 Title, Favicon, 스크린샷, Inserted, Redirect to 경로가 정상 facebook과 다른 것으로 보아 해당 Domain은 명백한 피싱 사이트입니다.

AI Spera는 Domain Search를 이용하는 보안 담당자에게 피싱 사이트 분석 결과를 보다 이해하기 쉽도록 Summary 속성에 대한 설명을 아래 표와 같이 제공하고 있습니다.

구분 속성 설명
Common URL with IP 탐지되는 도메인이나 링크 등이 IP로 되어 있는지 체크
Fake Domain Top Sites와 도메인 유사성 체크
Fake SSL 인증서의 유효성 체크
MITM Attack MITM 공격 가능성 체크
Locations 도메인에 연결된 IP의 국가 다양성 체크
Newborn Domain 도메인 생성 시기 체크
Suspicious Length 도메인 길이가 비정상 여부 체크
Abuse Record Critical, Dangerous 스코어 IP 포함 여부 체크
Mail Server Mail Server 존재 여부 체크
SPF1 Result 도메인의 쿼리 결과 체크
DGA Score 불규칙한 문자열 존재 여부 체크
HTML Hidden Element HTML 내 숨겨진 요소 체크
Hidden Iframe HTML 내 숨겨진 iframe 체크
Iframe iframe 존재 여부 체크
Obfuscated Script 자바스크립트 난독화 체크
Suspicious HTML Element HTML 내 수상한 오브젝트 체크
Suspicious Program HTML 내부에서 다운받을 수 있는 설치파일 체크
Button Trap button 이벤트로 전혀 다른 도메인 호출 체크
Credential Input Form HTML 내부에서 인증 정보 리다이렉트 체크
Network Redirection to another AS redirect시 다른 AS 체크
Redirection to another country redirect시 다른 국가 체크
Redirection to another domain redirect시 다른 도메인 체크
Suspicious Cookie 도메인 쿠키 유효성 체크

Criminal IP Domain Search 검색결과
페이스북 피싱 사이트와 정상 사이트

그리고 많은 피싱 사이트가 정상적인 서명 블록이 적용되어 있지 않아 웹 브라우저 주소창에 위험이라는 경고 문구와 웹 브라우저 자체 필터 기능을 통한 사기성 사이트 주의라는 메시지로 피싱 사이트의 위험성을 알려주는 경우가 많습니다.
회사에서 테스트 목적으로 구축한 임의의 웹 사이트가 아니라면 아래와 같은 내용을 확인할 경우 피싱 사이트로 의심해봐야 합니다.

페이스북 피싱사이트

피싱 사이트로부터 피해를 예방하기 위해서는 기본적으로 아래 내용을 숙지하여 행동할 필요가 있습니다.

  • 출처가 명확하지 않은 메시지와 링크는 보는 즉시 삭제
  • 전자 서명을 확인할 수 없거나 유사한 Domain 및 발신 정보를 사용하는 경우 클릭 금지
  • 모바일, 이메일 클라이언트 및 웹 브라우저에서 제공하는 모든 피싱 방지 기능 사용
  • 가능한 모든 계정에 다단계 인증 활성화
  • 객관적인 분석 결과를 얻고 빠르게 대응하기 위한 CIP Domain Search 사용

해당 게시글은 Criminal IP의 데이터를 바탕으로 작성되었습니다. Criminal IP의 구체적인 서비스 내용 및 베타테스터 모집에 관해 더 궁금하시다면 현재 오픈되어 있는 랜딩페이지를 바로 방문해주세요!