클라우드를 이용한 피싱

Cloud-based Phishing

합법적인 클라우드 서비스를 이용한 피싱 공격이 발견됐다. 새롭고 교묘한 방법이다. 마이크로소프트의 클라우드 서비스인 Azure Blob를 이용했다.

피싱 메일은 미국 덴버의 법률회사에서 온 것으로 가장했으며, Office 365 계정으로 로그인 해 내용을 볼 수 있다며 링크 클릭을 유도한다. 원 드라이브나 구글 드라이브 같은 클라우드 저장소에 있는 파일을 공유할 때 이런 식으로 링크를 이용하므로, 별 의심 없이 클릭할 수 있다.

링크를 클릭하면 Azure Blob에 저장된 피싱 페이지로 이동한다. 주소는 hhh://onedriveunbound80343.blob.core.windows.net이다(링크를 제거하기 위해 https를 hhh로 바꿨다). 이 페이지는 Office 365 로그인 창을 위장한 가짜 로그인 창을 띄워 계정 정보를 탈취한다.

여기서 속기 쉬운 게 피싱 페이지가 정상 클라우드 내에 있기 때문에 SSL 인증서 상 안전하게 보인다는 것이다(그림 출처는 참고 자료 2).



서브 도메인에 주의

클라우드나 블로그 서비스 등을 이용할 때 주소는 [사용자 ID.메인 도메인] 혹은 [메인 도메인/사용자 ID] 같은 형식을 갖게 된다. 이때 로그인 페이지는 이런 서브 도메인에 있는 것이 아니라 [login.메인 도메인] 등으로 메인 도메인에 있게 된다.

이번 피싱 건에서 보자면, 로그인 페이지는 hhh://onedriveunbound80343.blob.core.windows.net에 있을 수가 없는 것이다. hhh://login.microsoftonline.com라는 메인 도메인이 정상적인 로그인 페이지이다. 현재 마이크로소프트는 여러 사이트에 통합 계정을 운영하기 때문에 쓰고 있진 않지만, 예컨대 hhh://login.blob.core.windows.net 같은 것도 정상 로그인 페이지일 수 있다.

클라우드를 이용하지 않더라도 SSL 인증서를 갖춘 피싱 사이트는 많으므로, 인증서만 보고 대충 넘어가는 일은 없어야 겠다.


관련 자료

참고 자료
  1. Phishing Attack Uses Azure Blob Storage to Impersonate Microsoft
  2. Phishing in the public cloud: You’ve been served 

댓글

댓글 쓰기

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

이미지
잘라내기는 숨겨진 셀도 포함한다 마이크로소프트 엑셀(Microsoft Excel)로 데이터베이스 작업을 하다보면, 원하는 데이터만 보이도록 필터링을 한 다음, 다른 위치에 붙여넣기를 할 때가 있다. 그런데 필터라는 것이 불필요한 셀을 화면에 보이지 않게 숨기는 것이므로, 특정 범위를 선택할 경우 보이는 셀과 숨겨진 셀을 어떻게 처리하느냐에 따라 결과가 달라질 수 있다. 기본적으로 엑셀은 보이는 셀을 기준으로 작업을 한다. 그러나 수행하는 작업에 따라 달리 처리하기도 한다. 셀 단위로 범위를 선택할 때, 복사는 보이는 셀만을 포함하지만, 잘라내기는 숨겨진 셀까지 포함한다. 아래 예는 엑셀 2010과 오피스 온라인에서 수행한 것이다. 오피스 온라인은 마이크로소프트 계정만 있으면 무료로 사용할 수 있다. 기능은 상당히 제한적이지만 일반적인 작업에는 쓸 만하고, 항상 최신 버전으로 유지된다는 장점이 있다. 먼저 간단한 데이터베이스를 만들어 표(테이블) 삽입을 했다. 데이터베이스는 표로 만드는 것이 여러 모로 좋다. 여기서 서울에 사는 사람만 골라내서 별도의 시트로 만들려고 한다. 다음과 같이 필터를 적용했다. 여기서 표 전체를 선택하거나 셀 범위를 드래그해서 데이터를 '복사'한 다음, 새 시트에 붙여넣으면 다음과 같이 된다. 정확히 원하던 결과다. 그러나 표 전체를 선택하거나 셀 범위를 드래그해서 데이터를 '잘라내기'한 다음, 새 시트에 붙여넣으면 엉뚱한 결과를 낳는다. 범위 안에 있는 숨겨진 셀까지 이동된 것이다. 행 단위 선택은 숨겨진 행도 포함한다 위에선 셀 단위로 범위를 선택한 경우를 본 것이다. 그런데 엑셀에서 데이터베이스를 다룰 때는, 행 단위로 선택을 하는 것이 편할 때가 많다. 행 번호를 클릭하면 해당 행 전체가 선택된다. 행 단위로 범위를 선택하면, 그 안에 있는 숨겨진 행도 포함된다. 이때는 복사든 잘라내기든 마찬가지다. 위의 필터 적용된 데이터베이스에서 행 번호를 드래그해서, 행 단위로 범위를 선택한 후 '복사...
자세한 내용 보기

가정에서도 망 분리를 해보자

이미지
멀티 무선 네트워크(multi SSID) 망 분리는 용도와 보안 수준에 따라 각 네트워크를 분리해 구성하는 것이다. 주로 조직체에서 사용하는데, 내부의 중요한 컴퓨터는 외부 인터넷 망과 완전히 단절시키는 경우가 한 예다. 이렇게 하면 일반 직원들이 사용하는 컴퓨터가 해킹당하더라도, 핵심 서버는 영향을 받지 않는다. 이제는 가정에서도 망 분리를 고려할 시점이 됐다. IOT 기기 사용이 늘어나는 데 반해, 그 보안 수준은 열악하기 때문이다. 아마존 같은 선두권 기업의 제품에서도 기초적인 허점이 드러나곤 한다(관1). 여타 제품들은 어떤 상황일지 상상이 간다. 네트워크 내 하나의 기기가 뚫리면 전체 네트워크가 위험해 진다. 망 분리는 쉽다. 대부분의 공유기가 다중 네트워크 기능을 지원하기 때문이다. ipTIME 공유기에서는 그림과 같이 설정하면 된다. 게스트 네트워크를 선택해 켠 다음, SSID와 인증 방식을 설정한다. 가장 중요한 것은 통신 정책 설정이다. 반드시 'WAN포트 인터넷 통신만 허용'으로 설정해야 한다. '모든 통신 허용'을 선택하면 망 분리 효과가 없다. 기본 네트워크에 연결된 기기와도 통신이 되기 때문이다. 이제 보안이 취약한 기기들은 게스트 네트워크에 연결하고, PC와 NAS 등 중요한 것들은 기본 네트워크에 연결한다. 손님에게 와이파이 암호를 알려주기 싫을 때도 요긴하다. 외부인 용으로 별도의 네트워크를 만들면 된다. 무선 WAN으로 와이파이 확장 우리가 직접 구입한 공유기는 이처럼 쉽게 망 분리를 구성할 수 있다. 문제는 통신사에서 제공한 공유기를 사용하는 경우이다. IOT 기기는 통신사의 결합 상품으로 제공되는 경우가 많은데, 통신사의 공유기는 기능이 부족한 경우가 많다. 성능이 처진다기보다는, 고급 설정은 통신사가 직접 관리하고, 사용자 인터페이스에 노출시키지 않는 것이다. 통신사의 공유기가 멀티 SSID 기능을 지원하지 않는다면, 무선 WAN 방식으로 네트워크를 확장하면 된...
자세한 내용 보기

잉크젯 프린터 전원은 항상 켜 놓아야 좋다

잉크 절약을 위한 관리 요령 잉크젯 프린터(복합기)의 전원은 항상 켜 놓는 것이 좋다. 잉크를 아끼기 위해서다. 프린터는 켜질 때에 자체적인 유지 관리 기능으로 인해 소량의 잉크를 소모한다. 기종에 따라서는 제법 소모가 큰 경우도 있다. 따라서 가급적 자주 껐다 켰다를 하지 않는 것이 좋다. 또한 프린터가 오래 꺼져 있으면 잉크가 마를 수가 있다. 특히 온도가 낮은 겨울엔 잉크가 쉽게 마른다. 절전 모드로 전기 요금 걱정 없어 전기 소모는 걱정할 필요 없다. 대부분 일정 시간 인쇄 작업이 없으면 절전 모드 혹은 대기 모드에 들어가는데, 이때 전력 소모는 1w 미만이다. 내가 사용 중인 LIP2040VW는 0.88w인데, 각자 한번 확인해 보시길. 주기적으로 인쇄 결론적으로 잉크젯 프린터는 항상 켜 놓는 게 좋은데, 오래된 기종이라 전기 소비량이 많다거나 기타 이유로 그렇게 하지 못할 수도 있을 것이다. 이런 경우 게시판에서 여러 사람의 의견을 종합해 보면, 일주일에 한 번은 켜서 간단한 인쇄를 하는 것이 좋겠다. 항상 켜 놓더라도 최장 1달에 1번은 인쇄를 하는 것이 좋다. 관련 자료 말라버린 잉크 카트리지 닦기
자세한 내용 보기