링크 쪼개기를 이용한 피싱

base href tag 이용

메일 서비스의 안티 스팸(혹은 피싱) 필터링이 강화됨에 따라, 이를 우회하려는 다양한 시도가 나타나고 있다(관1). 최근에 이 중에서 링크 쪼개기를 이용해, AMEX(아메리칸 익스프레스) 카드 사용자의 자격증명을 탈취하려는 피싱(phishing) 메일이 발견됐다.

링크 쪼개기는 악성 링크를 둘로 쪼개서, URL 필터링을 회피하는 수법이다. html의 base href 태그를 이용한다. 이 태그의 역할은 한 페이지에 하나의 사이트로 연결되는 링크가 여러 개 있을 경우, 기본이 되는 base url을 한번만 지정해서, 이후에는 링크에 뒷부분만 간결하게 표시하기 위함이다. head 부분에 삽입하는 것이 원칙이지만, 그냥 body에 넣어도 대부분 작동한다.

예를 들어보면, 아래 그림같은 htm 파일을 만든다. hxxp://www.bad.com/login.htm 이라는 가상의 피싱 사이트 링크를 둘로 나눴다.



이것을 브라우저에서 열면 다음과 같이 보인다. 언뜻 보면 네이버 로그인 링크처럼 보이지만, 실은 배드닷컴 피싱 링크이다.

스팸 필터에서 base url도 검색하면 될 것 같은데, 이런 간단한 속임수에 상용 스팸 방지 솔루션들이 뚫리고 있다.

이렇게 쪼개진 링크 위에 마우스 포인터를 올려 놓으면, 브라우저에 따라 전체 url을 보여주거나 뒷부분만 보여주거나 한다. 실제 url을 잘 살펴보고, 뒷부분만 보일 경우에는 일단 의심해야 한다.


관련 자료
  1. 방어 장치를 우회하는 새로운 피싱 기술들

참고 자료
  1. American Express Customers Targeted by Novel Phishing Attack

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다