휴대용 펜 테스트 도구로 온라인 스토어에서 200달러로 판매되고 있는 Flipper Zero는 최근 침투테스터와 해커들 사이에서 품절 대란을 겪고 있는 인기 상품이다. 생김새가 마치 다마고치와 같다고 하여, 해커용 다마고치라고 불리는 이 도구는 각종 보안 커뮤니티, 틱톡, 트위터, 텔레그램 등에 리뷰 되면서 그 인기가 더해져 온라인 스토어는 거의 항상 품절 상태이다. 이 틈을 노린 피싱 공격자들이 Flipper Zero 피싱 사이트를 공식 판매 사이트처럼 꾸며 비트코인 등의 가상화폐를 지불하게 유도한다는 뉴스가 최근 Bleeping Computer 기사로 보도되었다. 물론 구매자는 Flipper Zero를 배송 받을 수 없다. 

일반인도 아닌 무려 해커와 침투테스터, 보안 연구원을 대상으로 한 이 피싱 사기는 피해자들이 Flipper Zero가 품절 되기 전 빠르게 구매하고 싶어하는 점을 이용한다.

Flipper Zero 피싱 사이트와 공식 사이트

URL 주소와 파비콘까지 교묘하게 공식 스토어와 똑같이 꾸며 놓은 피싱 사이트는 육안으로 구별하기는 어렵다.
우리는 트위터, 텔레그램 등에서 알려져 있는 Flipper Zero 사기 판매 사이트에 접속해 확인해보았다. 

Flipper Zero 공식 온라인 스토어
Flipper Zero 피싱 판매 사이트
Flipper Zero 피싱 판매 사이트
Flipper Zero 공식 온라인 스토어
Flipper Zero 피싱 판매 사이트(좌측) 과 Flipper Zero 공식 온라인 스토어(우측)

좌측 이미지가 가짜로 알려진 Flipper Zero 피싱 사이트이고, 우측은 진짜 Flipper Zero의 온라인 스토어 판매 페이지이다. 
공식 스토어를 자주 사용한 구매자라면 단번에 사이트가 이상하다는 사실을 눈치챌 수 있겠지만, 그렇지 않은 사람들은 피싱 사이트를 구분하기 어려워 보인다. 

가짜 Flipper Zero 판매 사이트 구분 방법

가짜 Flipper Zero 사이트와 공식 판매 사이트를 면밀히 구분하면 URL, 로고, 페이지 UI 등 다른 점들을 확인할 수도 있다.
그것보다 더 정확하고 빠르게 확인하는 방법은 OSINT 검색 도구를 이용하는 방법이다. 

Criminal IP의 Domain Search 에 트위터, 커뮤니티 등에 피싱으로 알려지지 않은 Flipper Zero 피싱 사이트 flipperzerovendoronline[.]comflipperzeroinstock[.]net 를 검색해 보았다.

가짜 Flipper Zero 사이트의 Criminal IP Domain Search 검색 결과, 피싱 사이트로 탐지된다
가짜 Flipper Zero 사이트의 Criminal IP Domain Search 검색 결과, 피싱 사이트로 탐지된다
가짜 Flipper Zero 의 Criminal IP Domain Search 검색 결과, 피싱 사이트로 탐지된다

피싱 사이트의 URL을 검색한 결과 악성 도메인으로 판별되었으며, 피싱 알고리즘은 50% 이상으로 판단되었다.

특히, 탐지된 항목 중 Newborn Doamin 정보를 보면 이 글을 작성하는 시점에서 불과 한 달 반 전에 생성된 도메인인 것으로 보인다. Flipper Zero 사기 판매 사이트가 현재까지도 계속해서 생겨나고 있으며, 공격과 피해가 계속될 것을 예상할 수 있다.

피싱을 탐지하는 방법 중 이용자들의 제보, 구글 검색, 피싱 체크 사이트들을 사용하는 방법도 있지만, 이런 방법들은 이미 알려진 피싱 사이트만 구분할 수 있다. 생긴 지 얼마 되지 않은 이러한 피싱 사이트는 실제 피해자가 다수 발생하기 전 까지는 탐지하기 어렵다는 것이다.

Flipper Zero 피싱 사이트의 스크린샷과 연결된 악성 IP가 탐지된 Domain Search 검색 결과
Flipper Zero 피싱 사이트의 스크린샷과 연결된 악성 IP가 탐지된 Domain Search 검색 결과

또 다른 Flipper Zero 사기 판매 사이트의 Domain Search 스캔 결과를 보면 실시간 사이트의 스크린샷, 사용된 기술 및 연결된 IP 주소 악성 여부를 확인할 수 있다. 

Flipper Zero 피싱 공격 확산 우려

Flipper Zero 피싱 공격 대상은 비단 해커, 침투테스터 뿐만이 아니다. 영상 플랫폼 틱톡에는 지금도 많은 리뷰어들이 Flipper Zero로 흥미로워 보이는 해킹 콘텐츠들을 만들어 올리며 수 천, 수 백만 조회수를 얻고 있다.

정보보안 커뮤니티가 아닌 일반적인 플랫폼을 통해 확산되고 있는 만큼 가짜 판매 사이트 점검 방법을 확인하고 피해를 예방해야 할 것으로 보인다. 
또한, 이러한 피싱 피해가 계속되는 것은 OSINT 검색엔진을 활용한 피싱 예방 방법이 보안 관련 직종의 사람들 외에 일반 인터넷 사용자에게도 필요한 이유 중 하나로 볼 수 있다.

관련하여 인스타그램의 계정을 해킹하는 피싱 사이트 탐지 방법에 대한 글을 참고해도 좋다.