피싱(phishing) 공격의 동향

[truefeel]

Anti-Phishing Working Group(APWG, http://antiphishing.org/ )에서 매달 피싱동향보고서를 발표합니다.
7월 발표자료를 통해 몇가지 특징을 살펴보겠습니다.



1. 피싱 사이트의 평균 유지기간은 5.9일
-> 순간적으로 사이트를 만들고 사라진다는 겁니다. 길어봐야 30일이구요.

2. 피싱분야의 대부분은 금융 서비스. 약 85.9% 차지

3. 피싱사이트의 국가별 비율 (호스팅되는 사이트 기준)
- 미국 30%
- 한국 14%
- 중국(홍콩,대만 포함) 10%,
- 프랑스 6%
- 호주 5%

피싱 공격이 영어를 벗어나 다양한 언어로 만들어진다는 것을 확인할 수 있습니다.

4. 패스워드 훔치는 악의적인 코드가 있는 프로그램이나 사이트 증가



- 프로그램 수 : 5월 79개, 6월 154개, 7월 174개로 증가 (6월에 2배로 급증)
- 사이트 수 : 5월 495개, 6월 526개, 7월 918개로 증가 (7월에 2배가까이 급증)

사회공학적으로 접근의 수준을 넘어 해킹 툴과 함께 접목하는 형태로 발전하고 있습니다.

5. 피싱용 악성 프로그램(keylogger, trojan downloader) 국가별 비율

- 미국 : 57%
- 브라질 : 11%
- 중국 : 5.7%
- 스페인 : 5.4%
- 러시아 : 4.4%
- 영국 2.4%

실제 사이트로 접속한 것처럼 속이기 위해 윈도우즈의 hosts 파일을 수정하는 피싱용 악성 프로그램이 증가하고 있습니다.
foobar.com(111.111.111.111)라는 실제 사이트가 있고,
foobar처럼 꾸며놓은 111.222.222.222라는 피싱 사이트가 있다고 할 때

1) 악성 프로그램은 사용자의 hosts 파일을 수정합니다.
2) 브라우저에서 foobar.com라고 치면 가짜 사이트인 111.222.222.222로 접속되고
사용자는 아무 의심없이 키 입력을 하게 되고, 공격자는 키정보를 얻게 됩니다.
3) 정보를 얻었으니 목적은 달성했고, 이제 원래대로 hosts를 돌려놓습니다.
4) 실제 foobar.com 사이트로 가도록 redirection합니다.

피싱용 키로깅 프로그램들로 인해서 몇몇 사이트에서는
키보드 입력 대신에 키보드 모양을 화면에 출력하고
클릭해서 인증절차를 거치도록 하는 보완한 사이트도 생기고 있습니다.

그러나 이런 것을 위한 스크린 캡쳐해서 전송하는 악성 프로그램들이 등장하고 있습니다.

- 글 : 좋은진호