북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

요약	- 북한 해커조직, Browser in the Browser 기술 사용 등 피싱 관련 기술 고도화 - 웹주소 표시줄에 실제 사이트의 주소가 표시, 화면으로 피싱 페이지 파악 불가
내용	- 과거의 피싱 공격은 타이포스쿼팅 이용 > 실제 주소와 유사한 주소를 사용해 눈속임 > 예를 들어 정상 주소가 google인 경우 공격자들은 g00gle 등으로 변경 - 최근 확인된 공격에서는 피싱 페이지의 주소 표시줄에 실제 사이트 주소가 표시됨 > 화면만으로는 피싱 페이지임을 알 수 없음 > 이를 이용한 Steam 계정 탈취, 금융기관 대상 피싱 등 악용 사례가 발견 > 대부분의 기업에서 사이트 접속 시 주소를 주의 및 확인해야 한다는 교육하는 것을 노린 공격 - 위조된 피싱 페이지는 실제 브라우저에서 제공하는 것이 아님 > 공격자에 의해 정교하게 제작된 CSS 코드로 확인 > 실제 피싱 사이트의 소스코드를 확인해보면 주소 표시줄에 나타나는 도메인과 파라미터를 지정하는 코드가 확인됨 - 해당 공격은 디자인을 통해 가짜 팝업창을 만들기 때문에 정상 팝업창과 달리 브라우저 밖으로 이동되지 않는 특성을 지님 > 일반 사원들은 관련 내용 숙지가 어렵기에 이메일을 통해 수신한 링크에서는 어떠한 형태로든 로그인 하지않도록 주의 필요
기타	- 브라우저 인 더 브라우저(Browser in the Browser, BitB) > 2022.03에 새롭게 나온 피싱공격 > 브라우저 창 안에 또 다른 브라우저 창이 열린 것처럼 꾸며내어 사용자들을 속여 계정 정보를 알아내는 피싱 공격 > SSO(Single Sign On_한 번의 인증으로 여러 사이트를 이용할 수 있게 하는 인증) 방식을 악용 > 동작방식 ① 해커가 만든 피싱 사이트로 유인하기 위해 사용자에게 이메일 등에 링크를 포함하여 전송 ② 사용자가 링크를 누르면 실제 사이트와 똑같은 혹은 유사한 피싱 사이트 접속 ③ SSO 로그인을 위해 계정 정보 입력 ※ 이때, 비밀번호가 틀리다는 알림을 띄워 여러번의 입력하도록 유도_비밀번호 정확도를 높이기 위한 방법 ④ 입력한 계정 정보가 공격자에 전송 및 탈취 > 대응방안 ① 출처가 불분명한 이메일, 메시지에 포함된 링크 클릭 금지 ② URL 확인 ③ 다중인증 사용 ④ 팝업창이 웹 페이지 화면 내에서만 움직일 수 있으므로, 확인해보기 - CSS 코드 (Cascading Style Sheets) > 웹페이지를 꾸미기 위한 코드 > HTML 태그 등에 할 장식의 종류, 크기, 색깔, 폰트 등을 지정

 

보안뉴스

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용