네트워크장비 제조업체인 Cisco의 사이트 신뢰성 향상 엔지니어(SRE)인 리카르도 베하라노 씨가 SMS를 사용하면 너무 쉽게 피싱할 수 있다고 경고했습니다.
SMS phishing is way too easy
https://www.bejarano.io/sms-phishing/
베하라노 씨가 예로 든 아래의 2통의 SMS. 둘 다 FedEx의 배송알림처럼 보입니다. 그러나 실제로는 위의 메시지가 진짜이고 아래의 문자는 가짜입니다. 확실히 식별하기 어렵지만 위의 메시지의 URL은 'https://www.fedex.com/en/delivery~~'이고 아래 문자의 URL은 'https://fedex.delivery/~~'입니다. 이 'fedex.delivery'는 현재 구입 가능한 도메인입니다.
문제는 진짜와 가짜가 모두 FedEx로부터의 SMS로 다루어져 버린다고 점입니다. SMS에는 송신자 ID라는 항목이 있는데 동일하게 되어 있는 SMS가 동일 발신자로부터의 SMS로 정리되는데 송신자 ID는 어디까지나 송신자가 설정하는 것으로 본인확인 절차가 없기 때문에 누구나 임의의 번호로 메시지를 위장할 수 있습니다. 또한 메시지 자체에는 발신자의 전화번호가 포함되지 않으므로 SMS를 받은 단말기는 실제 메시지와 가짜 메시지를 구별할 수 없습니다.
베하라노 씨는 대책으로 우선 송신자 ID를 이동통신사와 연결하는 조치를 권합니다. 이미 일부 국가에서는 이루어지고 있다는 것. 또 미확인 송신자 ID는 단말기가 식별해 경고알림을 발신하거나 기업이 SMS를 통해 URL을 보내는 관행을 중지해야 한다고 보았습니다.
'IT' 카테고리의 다른 글
| 고급 기능을 저렴하게 제공해 사이버 공격자를 돕는 플랫폼 'Dark Utilities' (0) | 2022.08.09 |
|---|---|
| 양자컴퓨터의 두뇌인 QPU란? (0) | 2022.08.02 |
| 브라우저의 'URL 추적 매개변수 삭제 기능'에 맞서 Facebook이 링크를 암호화한다는 주장 (0) | 2022.07.20 |
| 위성인터넷 'Starlink'는 지난 1년간 얼마나 빨라졌나 (0) | 2022.06.30 |
| Google 애널리틱스의 사용 금지를 이탈리아 당국이 권고 (0) | 2022.06.24 |
| 마침내 원주율의 100조 자리수가 판명...Google Cloud의 연구자가 약 5개월에 걸쳐 달성 (0) | 2022.06.19 |
| Apple M2의 벤치마크 점수...과연 M1에서 얼마나 향상되었을까 (0) | 2022.06.18 |
| Microsoft가 iOS, Android, macOS에서 사용할 수 있는 보안 소프트웨어 'Microsoft Defender'를 공개 (0) | 2022.06.17 |
