과거부터 공격자는 유명 사이트와 유사한 피싱 사이트를 만들어 이메일, SMS, 게시판 등의 수단으로 개인정보, 금융 정보를 탈취하는 악의적인 수법을 사용해왔습니다.
버라이즌(Verizon)의 ’21 데이터 침해 조사 보고서에 따르면 침해의 36%가 피싱과 관련되어 있다고 발표했는데, 이는 피싱 수법이 침해 사고에 얼마나 많은 비중을 차지하고 있는지 알 수 있는 지표입니다.
누구라도 흔히 경험할 수 있는 피싱 시도의 일반적인 예시는 아래와 같습니다.
- 유명하거나 평판이 좋은 회사와 유사한 발신지 사용
- 웹 브라우저 주소창에 정상적인 서명 블록이 없음
- 잘못된 문법, 문장, 맞춤법 오류 및 일관성 없는 형식의 내용
- 파일 다운로드, 링크 열람 등을 긴급, 중요성이란 표현으로 강요함
AI Spera는 피싱 사이트 여부를 분석하고 정상 혹은 악성 Domain 여부를 판단하여 피해를 최소화할 수 있는 Criminal IP(CIP) Domain Search을 제공하며, 보안 담당자의 기술 및 지식 수준과 상관 없이 피싱 사이트를 빠르고 정확하게 분석할 수 있습니다.
보안 담당자라면 회사 임직원으로부터 아래와 같은 이상 메시지를 수신했다는 신고를 접수 받은 경험이 있을 것입니다.
신고 접수 후 더 이상 피해가 발생하지 않도록 신속히 해당 Domain을 차단하고 상세 분석을 통해 후속 조치를 취해야 합니다.
Domain Search를 통해 의심 Domain을 분석한 결과 Domain Scoring이 Critical 등급인 심각 수준으로 확인되었습니다.
분석 Summary에서 Suspicious Length 속성이 30자 이상의 길이를 가지고 있는 것으로 확인됐고 악성코드 삽입에 즐겨 사용되는 iframe 태그가 존재하고 있습니다.
또한 Title, Favicon, 스크린샷, Inserted, Redirect to 경로가 정상 facebook과 다른 것으로 보아 해당 Domain은 명백한 피싱 사이트입니다.
AI Spera는 Domain Search를 이용하는 보안 담당자에게 피싱 사이트 분석 결과를 보다 이해하기 쉽도록 Summary 속성에 대한 설명을 아래 표와 같이 제공하고 있습니다.
| 구분 | 속성 | 설명 |
|---|---|---|
| Common | URL with IP | 탐지되는 도메인이나 링크 등이 IP로 되어 있는지 체크 |
| Fake Domain | Top Sites와 도메인 유사성 체크 | |
| Fake SSL | 인증서의 유효성 체크 | |
| MITM Attack | MITM 공격 가능성 체크 | |
| Locations | 도메인에 연결된 IP의 국가 다양성 체크 | |
| Newborn Domain | 도메인 생성 시기 체크 | |
| Suspicious Length | 도메인 길이가 비정상 여부 체크 | |
| Abuse Record | Critical, Dangerous 스코어 IP 포함 여부 체크 | |
| Mail Server | Mail Server 존재 여부 체크 | |
| SPF1 Result | 도메인의 쿼리 결과 체크 | |
| DGA Score | 불규칙한 문자열 존재 여부 체크 | |
| HTML | Hidden Element | HTML 내 숨겨진 요소 체크 |
| Hidden Iframe | HTML 내 숨겨진 iframe 체크 | |
| Iframe | iframe 존재 여부 체크 | |
| Obfuscated Script | 자바스크립트 난독화 체크 | |
| Suspicious HTML Element | HTML 내 수상한 오브젝트 체크 | |
| Suspicious Program | HTML 내부에서 다운받을 수 있는 설치파일 체크 | |
| Button Trap | button 이벤트로 전혀 다른 도메인 호출 체크 | |
| Credential Input Form | HTML 내부에서 인증 정보 리다이렉트 체크 | |
| Network | Redirection to another AS | redirect시 다른 AS 체크 |
| Redirection to another country | redirect시 다른 국가 체크 | |
| Redirection to another domain | redirect시 다른 도메인 체크 | |
| Suspicious Cookie | 도메인 쿠키 유효성 체크 |
그리고 많은 피싱 사이트가 정상적인 서명 블록이 적용되어 있지 않아 웹 브라우저 주소창에 위험이라는 경고 문구와 웹 브라우저 자체 필터 기능을 통한 사기성 사이트 주의라는 메시지로 피싱 사이트의 위험성을 알려주는 경우가 많습니다.
회사에서 테스트 목적으로 구축한 임의의 웹 사이트가 아니라면 아래와 같은 내용을 확인할 경우 피싱 사이트로 의심해봐야 합니다.
피싱 사이트로부터 피해를 예방하기 위해서는 기본적으로 아래 내용을 숙지하여 행동할 필요가 있습니다.
- 출처가 명확하지 않은 메시지와 링크는 보는 즉시 삭제
- 전자 서명을 확인할 수 없거나 유사한 Domain 및 발신 정보를 사용하는 경우 클릭 금지
- 모바일, 이메일 클라이언트 및 웹 브라우저에서 제공하는 모든 피싱 방지 기능 사용
- 가능한 모든 계정에 다단계 인증 활성화
- 객관적인 분석 결과를 얻고 빠르게 대응하기 위한 CIP Domain Search 사용
해당 게시글은 Criminal IP의 데이터를 바탕으로 작성되었습니다. Criminal IP의 구체적인 서비스 내용 및 베타테스터 모집에 관해 더 궁금하시다면 현재 오픈되어 있는 랜딩페이지를 바로 방문해주세요!
댓글 남기기