FBI, HTTPS 사이트 이용한 피싱에 주의보
6.10일 FBI는 HTTPS 사이트를 이용한 피싱(phishing)이 많이 발생하고 있다는 경고를 발표했다. SSL/TLS 인증서를 갖춘 HTTPS 사이트는 브라우저 주소 바에 자물쇠 아이콘으로 안전한 것으로 표시된다. 사용자는 '안전한 사이트'라는 표시만 보고 신뢰하기 쉽다. 그러나 이 점을 노리는 사이버 범죄자가 많다.
사실 SSL 인증서는 아무나 발급받을 수 있다. 많은 피싱 사이트들이 자신이 직접 발급받은 인증서를 사용해 안전한 것처럼 보인다(관1).
요즘은 거대 IT 서비스의 우산 밑으로 숨어 들어가 사용자를 안심시키는 수법이 늘고 있다. 클라우드를 이용한 피싱으로 불린다(관2). 합법적인 서비스의 계정을 만들어, 그 도메인 내에 피싱 사이트를 구축하는 것이다. 이 경우 SSL 인증서는 클라우드 회사 자체에 발급된 것이지, 각 계정에 대해 발급된 것이 아니다. 마이크로소프트의 애저(Azure)를 이용한 피싱이 가장 많지만, 구글, Cloudflare 등도 많이 악용되고 있다.
FBI가 제시한 예방 수칙은 다음과 같다.
이메일 상의 발신자 이름만 보고 믿지 말라. 그 내용의 의도를 의심해 보라.
아는 사람에게서 왔지만 의심스러운 이메일을 받은 경우, 전화나 이메일로 직접 확인하라. 받은 메일 자체를 회신(reply) 하지 말라.
도메인에 잘못된 점이 있는지 확인하라. 예를 들어 .gov로 끝나야 하는데 .com으로 끝나는 경우.
HTTPS나 자물쇠 아이콘만 보고 안심하지 말라.
관련 자료
참고 자료
사실 SSL 인증서는 아무나 발급받을 수 있다. 많은 피싱 사이트들이 자신이 직접 발급받은 인증서를 사용해 안전한 것처럼 보인다(관1).
요즘은 거대 IT 서비스의 우산 밑으로 숨어 들어가 사용자를 안심시키는 수법이 늘고 있다. 클라우드를 이용한 피싱으로 불린다(관2). 합법적인 서비스의 계정을 만들어, 그 도메인 내에 피싱 사이트를 구축하는 것이다. 이 경우 SSL 인증서는 클라우드 회사 자체에 발급된 것이지, 각 계정에 대해 발급된 것이 아니다. 마이크로소프트의 애저(Azure)를 이용한 피싱이 가장 많지만, 구글, Cloudflare 등도 많이 악용되고 있다.
FBI가 제시한 예방 수칙은 다음과 같다.
이메일 상의 발신자 이름만 보고 믿지 말라. 그 내용의 의도를 의심해 보라.
아는 사람에게서 왔지만 의심스러운 이메일을 받은 경우, 전화나 이메일로 직접 확인하라. 받은 메일 자체를 회신(reply) 하지 말라.
도메인에 잘못된 점이 있는지 확인하라. 예를 들어 .gov로 끝나야 하는데 .com으로 끝나는 경우.
HTTPS나 자물쇠 아이콘만 보고 안심하지 말라.
관련 자료
참고 자료
댓글
댓글 쓰기