고전적이면서도 기세가 줄지 않는 피싱의 최신 동향

미국 RSA Security의 아론 시미로비치 씨는 2018년 글로벌에서 발생한 피싱 공격은 1분기 1만 2,000건에서 4분기 약 2만 4,000건으로 두배가 되었다고 지적하며 피싱은 "고전이지만 여전히 효과적이며 새로운 기술도 등장하고 있다"고 경고하고 있다.

시미로비치 씨는 새로운 피싱 수법으로 '리버스피싱 공격'과 '2요소 피싱 공격'을 소개했다.

'피싱'은 보이스(음성)와 낚시를 조합한 조어이다. 공격에서 음성(전화)을 이용하는 것이 특징으로, 가짜 문의 연락처를 기재한 피싱 메일을 보내거나 로봇콜을 사용하여 은행 등을 사칭해 음성응답 시스템을 이용해 계좌번호나 비밀번호 등을 탈취한다.

이것은 2006년경부터 보인 오래된 공격 기법이지만, 최근에는 'Google지도'에 등록된 점포/기업의 전화번호를 몰래 변조하여 사기 그룹의 음성응답 시스템에 연결하는 형태로 새롭게 부흥하고 있다고 한다. "구글 맵의 정보라면 올바른 것이라는 신뢰를 악용한 수법으로 인도에서 급속히 퍼지고 있다"고 시미로비치 씨는 말한다. 참고로 Google지도에 게재되는 점포 정보의 ​​대부분은 사용자의 자원으로 등록되고 있는 것으로, 정확성과 합법성의 보증은 없다.

'2요소 피싱 공격'은 2요소 인증을 도입하고 있는 사이트의 로그인 페이지로 위장한 가짜 사이트로 사용자를 유도하고 로그인을 수행시킴으로써 인증(로그인) 및 세션 Cookie를 입수하는 공격 수법이다. 가짜 로그인 페이지는 프록시로 기능하여, 로그인한 사용자는 합법적인 사이트로 리디렉션되기 때문에 공격에 눈치채지 못한다. 그러나 그 뒤편에서 공격자는 합법적인 세션 Cookie를 훔치고 있으며, 2요소 인증을 우회하여 무단 로그인을 수행할 수 있는 기법이다.

미국 RSA Security의 다니엘 코헨 씨는 이 2요소 피싱 공격에 사용되는 프록시 서버 설정 도구(Evilginx와 CredSniper)는 암시장에서 구입할 수 있으며, GitHub에도 공개되어 있고, 실행 환경은 누구나 비교적 손쉽게 구축할 수 있는 현실이라고 말했다. 또한 Evilginx과 CredSniper은 본래는 피싱 방지 교육지원 툴로서 공개/판매되고 있었다.

Facebook과 인스타그램 및 Twitter에서도 당당히 '사기 비즈니스'를 홍보?

또, 코헨 씨는 최근 피싱 사기꾼의 동향으로 다크웹뿐만 아니라 Facebook과 Instagram, Twitter 등 '공공 장소'에서도 당당히 비즈니스 활동을 전개하는 경향이 있다고 지적했다. 실제로 이러한 SNS에 '서비스 소개'부터 '파트너 모집' 'ID/비밀번호 매매의 프로모션', 심지어는 '서비스 활용을 위한 튜토리얼 동영상'을 공개하는 사기꾼까지 볼 수 있다고 한다.

"SNS는 사기꾼에게 중요한 마케팅을 위한 플랫폼이다. 이용자를 늘리고 명성을 높이는 수단으로 활용하고 있다. 예를 들어 홍보게시물에는 판매하고 있는 ID/패스워드의 일부를 무료로 제공한다. 그것을 맘에 들어하는 구매자에게 대량의 인증정보를 패키지 형태로 판매한다" (코헨)

Facebook에서 '비즈니스 파트너 모집'을 하거나 YouTube에서 '튜토리얼 비디오'를 공개하는 사기꾼의 대담함

클래식하면서도 완고하게 살아남는 피싱 사기. 사용자가 피해를 방지하기 위해서 할 수 있는 대책으로 RSA는 '소비자들이 온라인을 안전하게 이용하기 위한 5가지'를 제안하고 있다.

그 내용은 '클릭하기 전에 의심한다', '비밀번호를 정기적으로 변경한다', '스마트폰에 다운로드하는 앱을 조심한다' 등 매우 기본적인 것으로 참신하지는 않다. 다만 방어하는 측에서도 재차 '고전적인' 대책을 철저히 해나가는 것의 중요성을 검토해야 할지도 모른다.

"이제 피싱 도구와 사용자 인증정보를 쉽게 구할 수 있어서 사기꾼이 되기 위한 장애물은 낮아지고 있다. 피해를 보지 않기 위해서라도 소비자의 의식 향상이 중요하다" (시미로비치 씨)

출처 번역
“古典的”ながらも勢いは衰えず、フィッシング詐欺の最新動向
https://ascii.jp/elem/000/001/805/1805293/?amp