피싱

보이스피싱을 주제로 한 영화 : 보이스

클라우드서비스와 피싱사이트 연관성

21년 클라우드 호스팅을 이용한 피싱 가능성을 설명하고 있다.

같은해 SaaS 방식 사이버 범죄에 대한 보안뉴스도 존재한다.

피싱사이트의 수상한 URL을 숨기기 위해, 클라우드서비스의 호스팅 주소를 사용한다.

중고거래 사기 과정

아래 기술한 사이트, 단체, 사용자, 제품은 실제와 무관한 것으로 가상의 환경에서 진행했음을 미리 밝힙니다.

피해자 관점으로 중고거래 피해 과정 관점으로 기술.

공격자는 시세보다 싼 중고 물건을 올린다.
피해자는 중고거래 게시물이 있는 네이버 카페에 접속한다.
피해자는 거래를 위해 게시물의 구매 문의 채팅 또는 카카오톡 아이디로 공격자에게 연락한다.

구매자는 Naver Pay 안전결제 방식으로 거래를 제안하고, 게시글 URL을 알려준다.

피해자는 접속한 페이지에서 Naver Pay 버튼을 클릭한다.

Naver Pay 를 이용하겠냐고 묻는 페이지가 한번 더 나오고, 해당 버튼을 클릭하면, 아래 사진과 같은 결재페이지가 나온다.

Naver Pay를 이용한 결제 페이지에서 배송지를 등록하고, 계속해서 결재를 진행한다.

피해자가 계좌로 금액을 입금하면 공격자는 오류 발생등의 사유로 추가 입금을 반복 요청한다. (피해 금액 증가) 또는 택배로 벽돌이 오거나 택배 자체도 오지 않을 수 있다.

이미 사기당했다는 것을 깨닫지만, 너무 늦었다. 개인정보 또한 추가로 탈취당했다. (계좌정보, 거주지 주소, 휴대폰 연락처)

왜 피싱사이트로 접속할까?

사람은 기존 정보와 경험 그리고 현재 정보를 종합적으로 고려해 판단한다.
피싱사이트는 이런 부분을 이용·조작하여 올바른 판단을 흐리게 한다.

어떤 방법을 사용해 판단력을 흐리게 만들었는가?
무엇이 잘못된 신뢰를 주는 요소인가?

1. 네이버 카페의 중고 거래글
   • 네이버 아이디로 가입 후 작성한 게시글
   • 본인인증을 완료한 네이버 계정
   • 3건의 거래 후기
2. 일반인처럼 보이는 카카오톡 메신저 프로필
3. 네이버 안전거래 제시 및 유도
   • 네이버 페이를 사용하면 안전하겠지?

사람은 기계가 아니다. 판단을 내리기 위한 과정을 효율적으로 하고자 과거의 기억이나 경험에 의지한다.
또한 감정은 이성과 더불어 조절하기 어렵다.
매 순간마다 합리적 판단을 하지 못하는건 어쩌면 당연한걸지도 모른다.

피싱사이트와 SaaS 연관성

위 중고거래 과정에서는 가상계좌로 입금하는 것 외에는 수상한 항목이 보이지 않을 수 있다.

카톡으로 전달받은 URL로 접속한 페이지, N pay 안전결재 버튼을 누르면 나오는 페이지는 피싱사이트이다.
카톡에서 접속한 URL 페이지의 구성 항목은 정상 네이버 카페와 구성을 유사하게 카피했다.

비정상적인 N pay 결재 버튼은 URL 직접사용한다.

정상적인 N pay 결재 버튼
호출 시, 직접 URL을 사용하지 않는다.

그렇다면 중고거래 사기와 클라우드 SaaS가 어떤 연관이 있을까?
와이어샤크로 패킷을 확인하면, 연관 IP주소를 확인할 수 있다.

이 주소의 근원지를 확인해보면 클라우드서비스와 연관성이 존재한다고 볼 수 있을까?
(영어문법은 무시해주세요)

KISA whois 검색결과 국외에서 관리하는 인터넷 주소까지만 확인될 뿐, 그 이상으로는 개인영역으로는 확인하기 어렵다.

위와 같은 피싱사이트 주소(URL)을 언뜻 보면 Naver 페이와 관련되어 보인다. 그러나 Naver 페이 서비스가 아닌 클라우드서비스에서 호스팅하는 주소와 연관성이 보인다.

피싱사이트 분석

피싱사이트 하단을 확인하면 렌더링 된 부분이 다른 사이트로부터 가져왔음을 확인할 수 있다.
해당 피싱사이트가 제작된 특정일시를 유추할 수 있다

정상 중고나라 카페 게시글을 피싱사이트 랜더링 리소스로 사용했음을 확인 가능하다.

결론

피싱 사이트와 클라우드서비스 피해 확산 방지 대책 미흡 vs 인터넷 자유 이용 권리 침해

네이버
-> 정상적인 네이버 카페로부터 피싱사이트를 만들 때, 이를 스캔하는 것을 막을 수 없음.
-> 누적된 신고로 피싱사이트 유도가 빈번하게 발생하는 카페를 운영 중단하는 과정이 오래 걸림.

카카오톡
-> 카카오톡 계정에 대해 비정상적 이용(피싱사이트 접속유도)에 대한 신고에도 불구하고, 직접적인 피해 사실이 없다면 즉각적인 계정 정지가 이루어지지 않는다.

CSP
-> 국내 클라우드서비스 개인정보유출 시 KISA에서 신고 가능하다.
-> CSP는 피싱사이트 책임소재 없다.

해외 클라우스서비스에서 호스팅하는 주소에 대한 접속을 막을 방법은 쉽지 않다.
인터넷 회사는 개별 사용자(인터넷 사용 계약자)의 개별 접속을 제한 설정을 할 수도, 할 근거도 없다.
유해사이트, 해외 IP 접속 차단 서비스를 제공한다.
그러나 계속 새롭게 생겨나는 주소를 차단 리스트 추가는 효과적인 방법이 아닐 것이다.

인터넷 회사 또는 개인의 개별 IP 제한 설정은 비효율적이다.

피싱 사이트, 카카오톡 계정, 네이버 아이디가 신고로 인해 이용 제한이 발생해도
공격자는 부정한 방법으로 취득한 SNS 계정과 피싱사이트를 생성해 호스팅하고, 이 주소로 피싱할 것이다.

클라우드 서비스 발전으로 인해 편리한 호스팅 기능을 악용하는 사례는 계속 발전할 것이다.
더 정교한 피싱 사이트가 작성될 것이고, 자동화 도구를 이용해 피싱사이트로 유도 과정도 더 쉬워질거라고 예상한다.