태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

피싱 (5)



오늘은 일정이 없어 여유롭게 커피한잔을 마시며 이메일을 확인하려 노트북을 켰다.

그런데.. "온라인 명예훼손 출석통지서"라는 제목의 이메일 한통이 눈에 띄었다. 보낸이는 경찰청...!!



당연히..나름 부지런하게 일하는 네이버포탈에서는 "시스템차단"이라는 태그를 달아 스팸메일함으로 분류하고 있었다. 


요즘 경찰청을 사칭하며 이런 저런 사건 수사를 한다며 "너 고소 당했으니 출석해~~"라는 막무가내 식 메일을 악성코드를 첨부해 보낸다는 소문은 들었지만 직접 받아보긴 처음이었다. 


포털메일시스템에서 자동으로 분류되기에 망정이지 컴알못인 사람들은 껌뻑 속아넘어갈만 하기도 학겠다는 생각이 들었다. 


이 메일의 내용을 한번 열어려고 클릭하면...



포털에서 악성코드가 포함되어 있을 수 있으므로 자동으로 차단했다는 메시지가 뜨며 내용을 그냥 보여주지 않는다. 만약 정말 당신이 컴알못이라면 여기서 손을 떼고 이런 메일은 그냥 삭제하기 바란다.


포털도 장사하는 사람들이다. 만약 악성코드를 퍼뜨리는 사기성 피싱 메일이 아닌데 이런 식으로 스팸메일로 처리하다 큰 코 다칠 수 있기 때문에 100% 확실하게 피싱메일이라고 판단되지 않으면 저렇듯 차단하지 않는다. 


만약 당신이 정말 범죄를 저질렀다 하더라도 경찰은 이메일 따위로 "출석 통지서"를 보내지 않는다. 실제로 비오는 밤 좌회전 차선을 잘못보고 들어갔다 뒤에서 오던 차가 블랙박스를 영상을 근거로 "공익신고"를 해서 사실확인 출석 통보를 받은 적이 있다. 일단 주소지로 실제 "교통법규위반 사실확인요청서"라는 우편통지를 받았다. 누군가 이런 사소한 것으로 신고를 했다는데 빡~치긴 했지만 실제 위반일 수도 있겠다 싶긴 했다.


이렇듯 공적인 출석요구나 사실확인 등은 모두 실물 우편을 보낸다.  위 화면처럼 "이메일" 따위로 출석을 요구하지 않는다.


그리고 위 화면에서 "보낸사람" 이메일주소를 보면 @keumsanpolice.xyz 이다. 도메인이 .xyz...??? 이 무슨 멍멍이스런 도메인인가 ? 대한민국 경찰이면 1차 도메인이 .kr 이어야지 .xyz라니...


사실 이쯤에서 더 이상 볼 필요도 없다. 이런 메일은 모두 "가짜 피싱"메일이다.


혹시나 내용이 궁금해 내용을 확인하니.. 다음과 같다.



그럴싸하게 사건번호까지 붙이고 법률까지 명시하고 있지만... 새빨간 거짓말이다.


이런 메일 받으면 아무런 걱정하지 말고 내용도 확인하지 말고 휴지통으로 직행시키길 바란다.




  • 에스델 ♥ 2019.03.20 09:52 신고

    컴알못인 저는 정말 조심해야겠어요..
    그런데 도메인을 보고 빵 터졌습니다. ㅎㅎ

    • taeho Tae-Ho 2019.03.20 13:14 신고

      요즘은 경찰청 뿐만 아니라 국세청 등 다양한 공공기관을 사칭헤서 메일을 보냅니다. 낯선 메일의 첨부파일을 다운로드 하거나 링크(URL)을 클릭할 때 정말 조심해야 합니다.

  • 히티틀러 2019.04.13 15:56 신고

    저도 이 메일 받았습니다.
    고소장이라고 되어있어서 블로그에 쓴 내용으로 뭔가 고소당했나하는 생각이 들었는데, 자세히보니 피싱메일인 거 티가 나더라고요.
    첨부파일 다운받지 않고 바로 지웠습니다ㅋㅋㅋ


요즘 스미싱이라는 기법을 통해 스마트폰을 악성코드에 감염시키고 개인정보를 유출하거나 소액결제를 유도하는 사이버공격이 극성을 부리고 있다. 초기엔 "무료쿠폰"과 같은 공짜 상품을 미끼로 내세우더니 점차 "청첩장", "돌잔치" 등 초대장으로 바꾸고 이젠 "민방위훈련"까지 스미싱에 악용하고 있다.


스미싱이란 무엇인지 알아보면...


SMS 및 카카오톡 등의 문자메시지를 이용해 악성코드의 설치를 유도하는 공격기법이다.


해커들은 다음과 같이 문자메시지(SMS)를 이용하여 처음보는 URL을 보내 터치하도록 유도한다. 아래의 경우 도메인 주소가 toh.info 다.



일단 문자메시지나 카카오톡으로 의심스런 도메인의 URL을 받았다면 두가지 방법을 이용해 확인할 수 있다.


확인방법 1.


먼저 PC의 브라우저에서 접속해 본다. 가능하다면 인터넷익스플로러 보다는 크롬이나 파이어폭스를 이용하는 것이 더 안전하다.



위처럼 뭔가를 설치하라고 나온다거나 apk 파일을 다운로드받으라고 한다면 그냥 삭제하기 바란다.

조금 더 확인해보자면 메시지에 나온 "민방위"와 같은 단어로 플레이스토어에서 검색해보기 바란다. 적어도 플레이스토어에 있는 앱이라면 직접 다운받지 말고 플레이스토어에서 다운로드 받아 설치해야 비교적 안전하다.



확인방법 2. 


만약 위의 방법이 불안하다면...   도메인 주소를 확인하는 것이 더 확실하다.


다음과 같이 도메인주소를 확인할 수 있는 웹사이트로 이동한다.


주소는 http://whois.krnic.or.kr 이다.

이 사이트는 한국인터넷진흥원에서 운영하는 사이트이니 안심하고 접속해도 된다.



그리고 위 화면처럼 SEARCH 창에 문자메시지로 날아온 URL 중에서 앞의 한자리를 빼고 입력한 뒤 SEARCH 버튼을 누른다.


앞에서 처럼 kr.toh.info 라는 URL이라면 toh.info 만 입력한다.


검색하면 아래와 같이 결과가 나온다... 그런데 뭔가 이상하다.


도메인 등록자 주소를 보면 "넌 민방위 대상자야" 라고 문자를 보낸 사람이 미국에 산다. -.-  말이 되는가? 그것도 마이애미에 산다. 마이애미는 미국 플로리다의 주요 관광도시다. 언제 우리나라 민방위 본부(?)가 미국 마이애미로 이사를 갔을까 싶다.


스미싱이나 피싱으로 의심되는...아니... 문자메시지든 뭐든 하여튼 처음보는 URL이 전달되었다면 절대 클릭하지 않기를 바란다. 설사 그것이 아는 사람일지라도 클릭이나 터치하여 뭔가를 스마트폰에 설치하는 순간, 개인정보는 빠져나갈 수 있고 내가 하지도 않은 소액결제가 이루어질 수도 있다.





피싱에 대한 대응조차 완벽하게 이뤄지지 않은 상태에서 보다 더 정교한 사기수법인 파밍(pharming) 기법이 기승을 부리고 있다. 피싱과 파밍은 위조된 가짜 웹사이트로 사용자를 유인한다는 점은 동일하다. 하지만 실제로 "유인"을 하는지 아니면 사용자가 "자발적"으로 해당 사이트에 접속하느냐가 가장 큰 차이점이다.

피싱은 사용자에게 이메일 혹은 문자메시지 등을 이용해 가짜 웹사이트(대표적으로 은행 등의 금융사이트 혹은 개인정보 수집을 목적으로 하는 사이트)로 반-강제적으로 유인하게 된다. 하지만 파밍의 경우 사용자가 필요에 의해 본인의 의지로 은행, 공공기관, 포털 등으로 접속할 때를 기다렸다가 접속을 시도하면 실제 사이트로 위장한 가짜 사이트로 접속 경로를 바꾸어 버리는  기법이다.

하지만 피싱기법에는 결정적인 약점이 있으니 바로 사용자에게 접속을 유도하는 웹사이트의 도메인 주소가 실제 도메인주소와 다르기 때문에 많은 사람들이 "피싱"이라는 것을 알아차릴 수 있다는 것이다. 하지만 파밍의 경우 정상적인 도메인주소로 접속을 해도 위장된 가짜 웹사이트로 접속되기 때문에 피싱보다는 속는 사용자가 많을 수 밖에 없다.

인터넷의 주소체계를 모르는 일반사용자에게는 이해하기 어려운 내용일 수 있으므로 조금더 자세하게 국민은행의 웹사이트 주소를 기준으로 설명하자면...

먼저 PC에서 도스창(cmd)을 열고 다음 화면에서 처럼 nslookup 명령을 실행한 뒤 www.kbstar.com 을 입력하면...

nslookup

하얀 박스의 내용처럼 www.kbstar.com 이라는 도메인주소의 실제 IP는 203.248.188.31 임을 알려준다. 이것은 사용자들이 203.248.188.31 이라는 IP주소를 은행 사용자들이 기억하기 너무 어렵기 때문에 인터넷에 도메인네임서버를 두고   www.kbstar.com 에 대한 실제 접속해야할 IP를 PC에 알려주는 것이다. (도메인네임서버는 "기본서버"로 표시된 IP를 갖고 있는 서버다. 즉 이 PC는 www.kbstar.com 이라는 도메인주소가 웹브라우저에 입력되면 168.126.63.1 의 주소관리서버에 질의하고 203.248.188.31의 회신이 오면 해당 IP로 웹브라우저가 접속을 하게된다.

파밍은 이 www.kbstar.com 을 사용자가 브라우저의 주소창에 직접 입력하거나 즐겨찾기에 등록된 국민은행을 클릭한 뒤 브라우저가 주소서버에 www.kbstar.com의 IP주소를 질의하는 단계를 가로채 엉뚱한 위조된 가짜 국민은행 사이트의 IP주소를 회신하도록 하는 해킹기법이다.

과연 이런 주소 바꿔치기는 어떻게 가능한 것일까??

키워드는 C:\Windows\system32\drivers\etc\hosts 파일이다.

이 hosts 파일은 도메인주소(www.kbstar.com)의 IP주소(203.248.188.31)를 변환해주는 주소서버(DNS서버)가 없던 인터넷 초창기에 사용되던 파일이다. 이 파일안에는 아래와 같이 IP주소와 도메인주소가 쌍으로 들어가 있는 파일이다.

hosts


Windows가 설치되면 hosts 파일에는 #(주석)으로 막힌 몇줄 이외에는 한줄도 포함되어 있지 않게 된다. 여기에 만약 

111.111.111.111    www.kbstar.com

이라는 한줄이 들어가 있다면 Windows는 웹브라우저가 www.kbstar.com 이라는 도메인주소의 IP주소를 요청하면 DNS주소서버에 질의하기 전에 이 hosts 파일에서 먼저 ip주소를 찾아 발견된 111.111.111.111을 웹브라우저에 알려주게 된다. 즉 웹브라우저는 엉뚱한 IP주소를 www.kbstar.com으로 알고 접속을 시도하게 되는 것이다. 

따라서 일반 사용자는 웹브라우저가 잘못된 IP주소로 접속했지만 IP주소를 웹브라우저상에서 확인할 수 없기 때문에 정상적인  www.kbstar.com에 접속한 것으로 생각할 수 밖에 없다. (사실 국민은행의 IP주소는 매우 많기 때문에 그냥 봐선 확인이 불가능하다.) 이것이 바로 파밍이다.

누가 hosts 파일에 가짜 주소를 집어넣는가?

그렇다면 누가 hosts 파일에 엉뚱한 가짜 주소를 집어 넣을까? 그건 바로 인터넷에서 무심결에 다운받은 악성코드가 담당한다.파밍을 시도하는 해커들은 인터넷에 다양한 방법으로 hosts 파일을 수정하는 악성코드를 사용자들이 다운로드 받도록 함정을 파 놓는다.

이 함정에는 사용자들이 많이 접속하는 웹사이트를 해킹하여 해당 웹페이지에 접속하면 자동으로 PC에 파킹을 시도하는 악성코드가 다운로드 되도록 하거나 이메일, 문자메시지, 네이트온 등을 이용해 메시지를 보내 악성코드에 감염된 프로그램을 다운로드 받도록 유도한다.

그렇게 PC에 감염된 악성코드는 hosts 파일에 파밍을 할 주소를 추가하게 된다.

백신이 hosts 파일의 수정을 막을 수는 없는가?

현재 시중에 나와 있는 일반적인 백신으로는 파밍을 시도하는 악성코드가 hosts 파일을 수정하는 것을 원천적으로 차단할 수는 없다. Windows 서버의 경우 서버보안SW인 RedCastle을 이용해 hosts 파일의 수정을 특정 프로그램을 통해서만 가능하도록하고 나머지 다른 명령어나 프로세스는 읽기만 가능하도록 정책을 수립할 수 있지만 PC에 설치되는 백신에는 이러한 정책 구현이 어렵기 때문에 지원하지 않고 있다.

결국 PC 사용자가 파밍의 함정에 빠지지 않기 위해서는 주기적으로 hosts 파일에 추가된 주소들이 있는지 확인해야 한다.


[먼저 봐야할 포스트] 피싱사이트를 통한 개인 금융정보 유출기법 분석




국내에서 시작되어 이젠 그 거점이 중국으로 넘어간 것을오 보이는 피싱사기 수법은 날로 진화하고 있다. 내 주변에도 경찰서를 사칭하거나 우체국을 사칭하는 전화를 받은 사람들이 꽤 많다. 그중에는 어찌나 정교하고 교활하던지 깜빡 속아 넘어갈 뻔한 사람도 있다. 결코 그리 어수룩한 사람이 아닌데도 말이다.

최근엔 인터넷을 이용한 피싱이 유행하고 있다. 최근 내게 날아온 피싱시도를 따라가면서 그 수법을 한번 살펴보았다. 


1. 먼저 문자가 날아온다

모모은행 혹은 모모카드에서 날아오는데... 보안등급을 승급(?)하라고 날아온다.  전화번호도 실제 모모은행의 콜센터 전화번호다. 이 문자메시지에는 피싱사이트의 URL이 포함되어 있다. 개인정보를 빼내기 위한 피싱 웹사이트의 주소다. 


2. 피싱웹사이트 접속 유도.

음..그럴싸하다. 겉으로 보면 영락없는 모모은행 인터넷뱅킹 사이트다. 하지만 이 웹사이트는 분명 가짜다. 하지만 난 다 알고 있다. 그래도 모르는 척~~ 아래쪽의 보안승급 바로가기 버튼을 눌러보았다.


3. 주민번호확인 시도.

이제 본격적으로 개인정보를 빼내려한다. 이름과 주민등록번호를 입력하란다. 미친척하고 입력해봤다. 어차피 내 주민번호는 유출된지 오래일테니.. 이정도 희생도 없이.. 다음단계의 화면을 어찌 볼 수 있단 말인가..ㅋㅋ


4. 보안카드 정보 입력 요구.

아.. 이제 계좌번호에 비밀번호..그리고 보안카드 일련번호와 보안카드의 35개 번호까지 입력하란다. 음..이걸 입력하는 사람이 있다는게 신기하지만 100명중 한명만 입력해도 성공일테니 피싱사이트라는 그물을 쳐놓고 그물에 걸리는 사람을 끈질기게 기다리는 것일테다. 낚시(피싱)라는 말이 딱 어울리는 그런 수법이다.


* 피싱사이트 확인 방법* 

피싱사이트인지 아닌지를 식별하는 것은 그리 어렵지 않다. 피싱사이트는 개인정보를 빼내기 위한 가짜 사이트이기 때문에 해당 화면의 모든 메뉴를 실제 사이트와 똑같이 만들지는 않는다. 예를 들면 다음화면과 같은 경우다.

보안 승급하라고 문자가 왔는데 "안전승급"이라는 엉뚱한 말을 썼다. 게다가 "고객상담" 메뉴를 눌렀는데 "안정승급" 후 사용하란다. 고객 상담과 안전승급이 무슨 관계인가?? 게다가 다른 메뉴를 마구~눌러보면 계속 "안전승급"하란다. 아마도 모든 페이지를 똑같이 만드는게 너무 힘드니까 대충~~해놓은 것인가 보다.


또 다른 사례는...

위의 화면 처럼 이미지가 깨지는 등 에러가 본래의 웹사이트보다 훨씬 많다. 대부분의 금융 웹사이트는 철저한 관리와 테스트하에 만들어진다. 이미지 URL이 깨지는 등의 에러는 사실 용납되기 어렵다. 따라서 웹화면에서 여기저기 클릭해보고 에러가 있거나 조금이라도 어색한(?) 움직임의 메뉴가 있다면 피싱사이트로 의심하는 것이 좋다.

그리고 가장 중요한 구별법은 바로 URL과 에러 화면의 타국어 표시 여부다.

해당 피싱사이트를 여기저기 눌러 돌아다니다 보니 에러가 표시되는 화면이 있었다. 근데 뜬금없이 한자로된 에러 페이지가 나왔다. 국민은행이 언제 중국으로 이사갔었나..?? 이는 100% 피싱 사이트가 중국에 있다는 이야기다.


그리고 URL....

금융사들은 대부분 자신들만의 잘 알려진 URL을 사용한다. 그런데 kbuccard.net 과 같은 유사 .URL은 사용하지 않는다. 인터넷에서 "국민은행"을 검색하여 표시되는 URL과 다른 URL로의 접속을 유도한다면 이는 피싱사이트일 가능성이 높으므로 주의하여야 한다.


안타깝게도 이러한 피싱사이트에 접속하여 금융정보를 사기꾼들에게 탈취당한 피해자가 얼마나 되는지 경찰이나 금융사에서는 공개를 하지 않고 있다. 사실 꽤 많다는 것이 정설이고 이러한 방법이 통하기 때문에 문자가 날아오는 것일 것이다. 하지만 기술적으로 이러한 피싱사이트를 막는 것에는 한계가 있다. 

그리고 피싱사이트에 낚여서 피해를 입었다 하더라도 100% 보상을 받을 수 있는 뾰족한 구제책이 없는 것이 현실이다. 개개인이 주의를 기울이는 방법이 가장 효과적인 방법이다. 

금융기관은 어떠한 경우에도 비밀번호나 보안카드번호, OTP일련번호 심지어 주민번호를 온전하게 모두 요구하는 경우는 없다.는 것을 명심해야 한다.






얼마전부터 이따금씩 휴대폰으로 "보관함에 저장된 멀티메시지(2)건이 있습니다." 와 같은 문자메시지가 왔다. 그런데 발신자가 114 혹은 통신사의 사서함이 아닌 엉뚱한 전화번호가 찍혀있었다. 번호를 보는 순간 뭔가 이상한 느낌에 무시해버렸다.
그런데 요즘 뉴스에 보면 심심치 않게 SMS피싱 피해에 대한 기사가 등장한다. 내가 받은 문자와 같은 문자메시지를 보고 무심코 연결했다가 결제확인 메시지도 없이 2000~3000원 정도의 소액이 순식간에 결제되었다는 것이다. 이런 사기를 치는 놈들은 그냥 한마디로 싸그리 잡아다가 감옥에서 1년쯤 썩게 만들어야 한다. 밥도 하루 한끼만 주면서 말이다. 하지만 정작 그런 법안을 신속하게 만들어 처벌 근거를 만들어줘야할 국회의원 나리들은 매일 쌈질만 하고 골프나 치러 다니고 여기저기 접대나 받고 다니니 한심할 따름이다.

SMS 피싱 문자메시지는 이런 형태로 수신된다.

일단 전화번호가 아래와 같이 114 혹은 통신사 사서함 번호가 아니다.


그리고 문자메시지의 내용은 엉뚱한 어디인지 모를 보관함을 가리킨다. 그리고 철자법도 틀리다.
"메시지"를 "메세지"라고 표기한다. 무식한 놈들... 어디서 사기치는 수법만 늘어가지고.... 쯧...


이런 문자가 오면... 곧바로 휴대폰의 스팸신고 기능을 이용해 신고합시다.
이렇게 신고하는 것이 바로 세상에 도움이 되는 좋은 일을 하는 겁니다.