원본 홈페이지 그대로 가져오는 피싱 사이트 발견! 사용자 주의 필요
(21-06-09)
원본 홈페이지 그대로 가져오는 피싱 사이트 발견! 사용자 주의 필요
홈페이지의 소스를 그대로 가져와 피싱에 악용하는 사례가 발견돼 사용자들의 주의가 필요하다. 최근 피싱 이메일을 보낸 공격자는 현재 사용 중인 비밀번호가 조만간 만료되니, 비밀번호를 유
www.boannews.com
[iframe] 태그를 이용해 원본 페이지 가져온 뒤 로그인 유도
ID 및 비밀번호 입력 시 공격자에게 해당 정보 그대로 전송돼
공격자는 두 가지 HTML 태그를 피싱 공격에 이용했다. 하나는 [form name]이다. 이는 사용자가 입력한 양식 데이터를 서버로 제출하는 양식으로, 여기에 비밀번호를 입력할 경우 해당 계정 정보가 공격자에게 전송된다. 또 다른 태그는 [iframe]이다. 이는 하나의 웹 페이지 안에 다른 웹 페이지를 열기 위해 사용하는 태그로, 이를 통해 공격자는 자신의 피싱 페이지 안에 현재 상태와 동일한 피해 대상의 웹 페이지를 가져올 수 있다.
Tabnabbing
HTML 문서 내에서 링크(target이 _blank인 Anchor 태그)를 클릭했을 때 새롭게 열린 탭(또는 페이지)에서 기존의 문서의 location을 피싱 사이트로 변경해 정보를 탈취하는 공격 기술을 뜻한다. 이 공격은 메일이나 오픈 커뮤니티에서 쉽게 사용될 수 있다.
공격 절차는 다음과 같다.
- 사용자가 cgm.example.com에 접속한다.
- 해당 사이트에서 happy.example.com으로 갈 수 있는 외부 링크를 클릭한다.
- 새탭으로 happy.example.com가 열린다.
- happy.example.com 에는 window.opener 속성이 존재한다.
- 자바스크립트를 사용해 opener의 location을 피싱 목적의 cgn.example.com/login 으로 변경한다.
- 사용자는 다시 본래의 탭으로 돌아온다.
- 로그인이 풀렸다고 생각하고 아이디와 비밀번호를 입력한다.
- cgn.example.com은 사용자가 입력한 계정 정보를 탈취한 후 다시 본래의 사이트로 리다이렉트 한다.
출처 : https://blog.coderifleman.com/2017/05/30/tabnabbing_attack_and_noopener/
해당 공격으로 인한 피해를 예방하기 위해서는 무엇보다 사용자들의 주의가 필요하다. 특히, 웹 브라우저 주소창에 자신이 로그인하려는 사이트의 주소가 올바르게 표시돼 있는지 확인하고, 가능하다면 네이버, 다음 등 믿을 수 있는 검색 엔진을 통해 해당 홈페이지에 직접 접속한 뒤 로그인을 하는 것이 안전하다.
'Security Script' 카테고리의 다른 글
| [보안 뉴스 스크립트] 09. CDN(Contents Delivery Network) (0) | 2021.06.14 |
|---|---|
| [보안 뉴스 스크립트] 08. 랜섬웨어 (0) | 2021.06.11 |
| [보안 뉴스 스크립트] 06. njRAT 악성코드 (0) | 2021.06.09 |
| [보안 뉴스 스트립트] 05. 스미싱 (0) | 2021.06.08 |
| [보안 뉴스 스크립트] 04. 딥웹 / 다크웹 (0) | 2021.06.07 |