SomeNotes247

Google Play에서 발견 안드로이드 스마트폰의 상단 알림 내용을 가로채, 2단계 인증을 우회하는 악성코드가 발견됐다. 구글 플레이에 터키의 가상화폐 거래소인 BtcTurk를 사칭한 앱으로 등록돼 있었다. 이와 유사한 다른 가짜 앱들도 발견됐는데, 이를 발견한 ESET은 Android/FakeApp.KP로 탐지한다. SMS(문자 메시지)는 낡은 기술로 보안성이 좋지 않다. 통신 인프라에서 전송 중 가로채질 수도 있고, SIM swapping(관1)으로 탈취당할 수도 있다. 스마트폰에서 악성코드에 의해 낚일 수도 있다. 구글은 악성코드에 의한 탈취를 막고자, 2019.3월부터 앱이 원칙적으로 SMS와 통화 기록에 접근하지 못하도록 했다. SMS를 가로채 2단계 인증을 우회하던 해커로선 다른 방법이 필요했다. 이런 배경에서 등장한 수법이 푸시 알림(push notification)을 가로채는 것이다. 푸시 알림 가로채기 SMS, 이메일, 카카오톡을 비롯한 SNS 등 알림이 오면, 내용 일부가 표시된다. 따라서 이들 알림을 보낸 앱에 직접 접근할 권한이 없더라도, 여기에서 내용이 노출될 수 있다. 스마트폰이 잠금 상태여서, 실제로 알림이 화면에 표시되지 않더라도 상관 없이 탈취할 수 있다. 물론, 알림에 접근하려면 사용자에게 그림처럼 권한을 요청해야 한다(참1). 알림 접근 권한은 꽤 강력하다. 알림의 내용을 읽을 수 있는데, 여기에는 연락처 이름이나 메시지 내용 등 개인 정보가 포함될 수 있다. 그리고 알림을 지우거나 그 안에 있는 버튼을 클릭하는 행동을 할 수도 있다. 알림 접근 권한을 얻은 앱은 방해 금지 모드를 켜거나 끄는 등 관련 설정을 변경할 수도 있다. 따라서 이 권한을 허용할 때는 특히 주의해야 한다. SMS나 이메일 인증은 취약 이번에 발견된 가짜 앱은 정상적인 서비스를 가장하여 로그인 화면을 띄운다. 입력한 정보는 해커의 서버로 전송된다. 그리고 일시적인 서비스 점검 등을 핑계로 지금은 이용할 수 없다고 ...

블루투스 버전에서 인증 취약점 Google이 2단계 인증에 사용되는 보안 키 제품인 Titan Security Key를 리콜한다. Bluetooth 버전에서 해킹에 악용될 수 있는 취약점이 발견됐기 때문이다. USB 버전과 NFC 버전은 해당되지 않는다. 블루투스 버전은 제품 뒷면에 'T1" 또는 "T2"라고 표기돼 있다. 구글의 보고서에선 페어링 프로토콜의 구성 오류("Due to a misconfiguration in the Titan Security Keys’ Bluetooth pairing protocols") 때문이라고 설명한다. 내용을 살펴 보니, 페어링된 기기에 대한 검증이 불완전한 것으로 생각된다. 페어링이란 결국 기기 상호간의 인증이다. 일단 페어링 되면 다음에는 바로 연결을 수락한다. 그런데 인증이 불완전해서, 페어링 되지 않은 기기가 연결이 될 수 있는 것이다. 따라서 연결되는 순간, 즉 타이탄 키의 버튼을 누르는 순간이 위험한 것이다. 피해자를 망원경 등으로 직접 감시하지 않는 한 악용하기 쉽지 않은 이유다. 블루투스 도달 거리인 10미터 이내에 있어야 함은 물론이다. 구글이 밝힌 2개의 공격 시나리오를 살펴 보자. 타이탄 시큐리티 키 무단 사용 하나는 해커가 피해자의 타이탄 키를 사용해 피해자의 계정에 로그인하는 경우이다. 타이탄 키를 이용한 로그인 과정은 다음과 같다. 먼저 ID와 password를 성공적으로 입력하면 2단계 인증을 요구한다. 이때 타이탄의 버튼을 누르면 인증이 완료된다. 그런데 타이탄의 버튼을 누르는 순간에, 사용자의 기기에 연결되기 전에, 해커가 이를 가로채서 해커의 기기에 연결할 수가 있다. 타이탄과 해커의 기기는 페어링된 적이 없으므로, 원래는 연결될 수 없어야 한다. 그러나 인증 취약점이 있기 때문에 가능한 것이다. 이제 해커는 자신의 기기에서 피해자의 계정에 로그인할 수 있다. 단 전제 조건이 있다. 미리 피해자의 ID와 passwo...

2단계 인증 우회 브라우저에 저장된 쿠키와 로그인 정보를 훔쳐 가상화폐를 탈취하는 신종 악성코드가 발견됐다. Palo Alto Networks가 발견해서 쿠키마이너라고 불렀다. Mac에서 작동하는 것이지만, 동작 방식은 Windows 사용자도 참고할 만하다. 쿠키마이너는 브라우저의 cookies를 노린다. 대부분의 가상화폐 사이트들이 2단계 인증을 요구하기 때문에, 암호만으로는 로그인하기 어렵다. 암호와 함께 혹은 암호 없이도, 로그인 자격을 증명하는 토큰인 세션 쿠키(인증 쿠키)를 탈취하면 2단계 인증을 거치지 않고 로그인할 수도 있다. 물론 해당 사이트의 로그인 및 2단계 인증 시행 정책에 따라 성패가 갈린다. 쿠키 탈취 쿠키마이너는 크롬과 사파리 브라우저의 쿠키를 탈취한다. Binance, Coinbase, MyEtherWallet 등 가상화폐 관련 사이트와 블록체인 관련 사이트의 쿠키가 주된 표적이다. 이런 쿠키들이 발견되면, 새로운 폴더를 만들어 복사한 다음, 해커의 서버로 전송한다. 저장된 암호 탈취 크롬의 로컬 저장소에 저장된 사이트 암호, 신용카드 정보를 탈취한다. 로컬 저장소란 기기에 파일 형태로 저장한 곳을 말한다. 동기화되는 온라인 저장소인 passwords.google.com과 대비되는 개념이다. 기기에 저장된 암호와 신용카드 정보는 암호화돼 있기 때문에, 이를 추출하려면 decrypt를 해야 한다. 복호화 기술은 Google Chromium project의 것을 사용했다. 가상화폐 지갑 탈취 가상화폐 지갑에 관련된 파일들의 경로(위치)를 수집하여, 해커의 C2 서버로 전송한다. 이 정보는 후에 해커의 지시에 따라 특정 파일을 서버로 업로드하는 데 이용된다. 대개 파일로 저장된 개인 키가 목표물이다. 아이튠즈를 통해 아이폰을 Mac pc에 백업한 경우, 저장된 SMS도 탈취한다. 크립토재킹 쿠키마이너는 자체적으로 Koto라는 가상화폐를 채굴하는 기능도 갖고 있다. 원격 제어 추가로 Em...

XSS(cross-site script) 해킹 취약점 인기 게임 Fortnite의 계정이 완전히 탈취 당할 수 있는 취약점이 발견됐다. 체크포인트에 의해 발견됐으며, 개발사 Epic Games는 작년 12월 중순에 해결했다. 몇 가지 취약점이 복합적으로 작용했지만, 결정적인 것은 크로스 사이트 스크립트 취약점이다. 에픽 게임즈의 로그인 url은 accounts_epicgames_com이다. 여기에 url 검증을 하지 않는 취약점이 있어서, epicgames 도메인 내의 다른 페이지로 redirect가 가능하고, 거기에서 로그인 요청을 할 수 있다. 연구팀은 ut2004stats_epicgames_com이라는 미사용 상태로 방치된 서브 도메인을 찾아냈고, 게다가 여기에는 cross-site script 취약점이 있다는 걸 알아냈다. 크로스 사이트 스크립트란 한 마디로 다른 사이트에 있는 스크립트다. 다른 사이트에 있다 함은 물리적으로 그럴 수도 있고, 논리적인 개념일 수도 있다. 관리자가 의도한 것이 아닌, 제3자가 의도한 대로 작동하는 스크립트 말이다. 당연히 이런 것은 허용될 수 없는 것이다. 우리가 어떤 사이트를 안전한 것으로 생각하고 이용하고 있는데, 거기에 관리자가 아닌 제3자가 만든 스크립트가 삽입돼 실행된다고 하자. 전혀 안전하지 않은 것이다. 연구팀은 ut2004stats 서브 도메인에 인증 토큰(세션 쿠키)를 탈취하는 제3자 스크립트를 삽입할 수 있었다. 이는 페이스북, 엑스박스 등 연결된 계정에서 보낸 토큰을 탈취한다. 개략적인 시나리오는 이렇다. 해커는 달콤한 유혹이 담긴 링크를 피해자에게 보낸다. 특혜 링크로 접속하면 아이템을 추가 증정한다는 식의. 이 링크는 정상 로그인 주소인 accounts_epicgames_com을 해커가 장악한 ut2004stats_epicgames_com로 리다이렉트하고, 여기서 페이스북 등 소셜 로그인 사이트에서 보낸 토큰을 탈취한다. 아래 그림은 에픽 게임즈의 로그인 화면과 엑스박스...

살 길은 2단계 인증 뿐 온라인 쇼핑몰에 웹 사이트와 데이터베이스 호스팅 서비스를 제공하는 윈윈소프트가 해킹당했다. 해킹은 10일 경에 일어났으며, 입점 쇼핑몰 고객의 이름, 아이디, 암호, 이메일, 전화번호, 주소 등이 유출된 것으로 알려졌다. 회사 측은 암호 변경을 권고했다. 자세한 내용은 공개되지 않아 잘 모르겠지만, 윈윈소프트 홈페이지에 가 보니 옥션, 지마켓 같은 오픈마켓에 입점한 사업자를 대상으로도 활발한 영업 활동을 한 것으로 보인다. 피해 규모가 생각보다 클 수도 있겠다. 개인 정보가 여기저기서 줄줄 새고 있다. 사용자가 아무리 강력한 암호를 설정하고 잘 관리해도, 사이트가 줄줄이 해킹당하는 데는 소용이 없다. 유출된 정보로 인한 2차 피해를 막기 위해서는 2단계 인증을 활용하는 것이 필수다. 관련 자료 Drupalgeddon 2와 Dirty COW 취약점으로 웹 서버 해킹 참고 자료 윈윈소프트, DB 해킹 당해 개인정보 유출됐다  

2단계 인증 필수 Instagram에서 일부 사용자의 암호가 노출되는 사고가 발생했다. 내 정보 다운로드(Download Your Data) 기능의 버그로 발생했다. 이 버그는 인스타그램 기술진이 발견했으며 최근에 패치됐다. 피해자에게는 개별 통보가 됐다. 내 정보 다운로드 기능은 사용자가 인스타그램에 올린 글, 사진 등 모든 자료를 PC에 저장하는 것으로, 서비스의 장애나 해킹에 대비한 백업 기능이다. 탈퇴 시에도 유용하다. 이 기능의 URL에 일부 사용자의 password가 암호화되지 않은 평문(plain text)으로 포함됐다. 그리고 모회사인 페이스북의 서버에 저장됐다. 버그는 현재 수정됐으며, Facebook에 저장된 암호도 삭제됐다. 암호가 URL 형태로 노출됐으므로, 피해자는 암호를 바꾸는 것은 물론, 브라우저 히스토리도 삭제해야 한다. 요즘 암호는 여러 가지 위험에 노출돼 있다. 따라서 강력하고 고유한 암호를 사용하는 것은 물론, 2단계 인증을 사용하는 것이 꼭 필요하다. 관련 자료 해킹이 힘든 강력한 암호 만들기 인스타그램, 해킹 대책으로 2단계 인증 보완 참고 자료 Instagram Accidentally Exposed Some Users' Passwords In Plaintext  

토큰(세션 쿠키) 탈취 28일 Facebook이 해킹 당해 5천만 명의 access token(로그인 자격증명 정보를 담은 작은 파일)이 탈취됐다. 페이스북은 이 사실을 25일 발견하여 시스템을 패치하고 탈취된 토큰을 무효화했다. 또한 예방 조치로 지난 1년간 위험에 노출됐을 가능성이 있는 4천만 명의 토큰도 무효화했다. 페이스북의 token은 자격증명을 사용자의 기기에 저장하여 매번 로그인하지 않아도 로그인 상태가 유지되는 편리함을 제공한다. 물론 다른 사이트들도 대부분 로그인 유지 기능을 제공한다. 그리고 이런 토큰은 Session Cookie(세션 쿠키)라고도 한다. 토큰은 편리함도 있지만 해커에게 탈취당하면 계정에 완전한 접근 권한을 주게 되는 위험도 따른다. 토큰을 노리는 악성코드도 많다. 만약 토큰을 탈취당했다고 생각되면 암호를 변경하여 기존 토큰을 무효화하면 된다. 연결된 계정도 위험 Access Token을 가진 사람은 계정에 대한 완전한 통제권을 갖는다. 따라서 '페이스북 계정으로 로그인' 기능으로 연동된 앱이나 사이트에도 로그인할 수 있다. 연동된 계정도 위험에 고스란히 노출돼 있는 것이다. 페이스북은 현재 위험에 노출된 사람들의 토큰을 무효화하고 개별 통보하고 있지만, 사용자가 직접 해킹 여부를 알아볼 수도 있다. <계정 설정/보안 및 로그인/로그인한 기기 및 장소>를 확인하여 내가 하지 않은 로그인이 있었는지 살펴보면 된다. 계정이 침해당한 것으로 의심되는 경우, 암호를 변경하여 토큰을 초기화한 후에, 연결된 계정의 연결을 끊었다가 다시 연결하여 연결 상태를 초기화한다. <설정/앱/페이스북 계정으로 로그인>에서 연동된 계정을 관리할 수 있다. 주의할 점은, 일단 계정의 연결을 끊으면 이용하던 앱이나 사이트의 정보가 삭제된다는 것이다. 마일리지나 게임의 업적, 아이템 등이 사라지는 것이다. 계정 연동은 대형 포털, SNS에서 대부분 제공하고 있다. 계정을 새로 만들 필요가 ...

Instagram이 2단계 인증 수단을 확대한다. 기존에는 SMS만 가능헀는데, SMS 기반의 2단계 인증은 비교적 쉽게 뚫리는 문제점이 있다. 따라서 28일부터 구글 OTP, 마이크로소프트 Authenticator 같은 타사의 인증 앱을 사용할 수 있게 했다. 보안을 위해 이런 인증앱으로 바꾸는 것이 좋다. 최근 몇 주간 많은 인스타그램 계정이 해킹당했는데, 그 중에는 2단계 인증을 설정한 계정도 포함됐다. 얼마 전에는 2단계 인증을 설정한 레딧 직원들의 계정이 해킹당하기도 했다. SMS 기반의 2단계 인증이 취약하다는 것을 보여주는 사례들이다. 또한 SMS 인증은 심 스와핑(심 해킹)에도 취약하다. 인스타그램은 이번에 가짜 뉴스를 이용해 정치적인 영향력을 행사하려는 계정으로 인한 문제점을 완화할 수 있는 조치도 내놨다. 검증된 계정(Verified Account)을 도입하고, 계정의 변경 이력(history)을 보여주는 것이다. 이런 조치는 팔로워들이 자신이 팔로우하는 계정에 대해 좀더 잘 파악하여 악용(어뷰징) 계정을 가려내는 데 도움이 될 수 있다. 계정 히스토리는 해킹당하여 계정 이름이 변경된 경우도 쉽게 식별할 수 있게 해준다. 관련 자료 2단계 인증도 해킹 가능 레딧, 2단계 인증에도 해킹당해 심 해킹으로 계정, 가상화폐 탈취 참고 자료 Instagram Expands 2FA Support Following Recent Wave of Account Hacks  

요즘 대부분의 메일 서비스나 오피스 솔류션은 피싱에 대한 방어 장치를 갖추고 있다. 메일에 포함된 링크를 일일이 추적하여 악성 사이트로 연결되는 것은 미리 차단하는 것이다. 그런데 이런 방어 장치를 회피하는 피싱 기술 또한 발전하고 있다. 기업에서 많이 이용하는 마이크로소프트 오피스365도 피싱 방어 장치를 갖고 있는데, 이를 무력화하는 새로운 기법들이 계속 나오고 있다. 아래에 나오는 링크 쪼개기는 5월에, 제로폰트 기법은 6월에 발견됐고, 현재는 보완 조치가 된 상태다. 그러자 셰어포인트 문서를 이용하는 방법이 새롭게 나타났다. 제로폰트(ZeroFont) 기법 문장 일부분을 폰트 크기 0으로 하는 방법이다. 0 크기의 문자는 사람 눈에는 안보이지만 컴퓨터에는 보인다. 예를 들어 다음과 같은 문장을 이용한다고 하자. Microprocessors run optimize software to store your secrets Securely. It is also good for system integrity, thanks to our Team. 이것을 다음과 같이 일부분의 폰트를 0으로 한다. 여기서는 작게 표시했지만, 실제 피싱 메일에서는 0으로 해서 아예 보이지 않는다. Micro processors run optimize soft ware to store your secrets Secur ely. It is also good for system integr ity , thanks to our Team. 결국 사람 눈에는 Microsoft Security Team으로 보이게 된다. 컴퓨터의 안티 피싱 소프트웨어는 평범한 문장으로 인식하지만, 사람은 신뢰할 수 있는 발신자로 판단하게 되는 것이다. 링크 쪼개기(baseStriker attack) 악성 링크를 <base> 태그를 이용해 분산시키는 방법이다. 예를 들어 https://bit.do/ee9mr이라는 악성 링크가 있다고 하자. 이를 그냥 피싱 메일에 표시하면...

심 해킹(SIM hacking)은 심 스와핑(SIM swapping), 심 하이재킹(SIM hijacking), 포트아웃 스캠(port out scam)으로도 불리며, 타인의 휴대폰 번호를 훔치는 것이다. 통신사의 고객지원 부서를 속여, 피해자 몰래 해커의 폰으로 유심 기변을 하는 것과 같다. 해커가 피해자의 번호로 피해자 행세를 하게 되는 것이다. 휴대폰 번호는 본인 인증, 2단계 인증 등 주요 인증 수단이므로, 이를 탈취하면 연결된 각종 계정의 암호를 재설정하여 계정을 완전히 장악할 수 있다. 최근 해외에선 이런 사건이 빈발하고 있다. 한 피해자는 심 해킹으로 아마존, 이베이, 페이팔, 넷플릭스 등 주요 계정을 몽땅 털렸다고 한다. 최근 체포된 조엘 오티즈는 심 해킹으로 다수의 SNS 계정을 훔쳐 암시장에 팔고, 40여 명으로부터 약 500만 달러 상당의 가상화폐를 빼내기도 했다. 심 해킹은 통신사의 고객지원 부서를 속이는 것이므로, 통신사가 서비스에 중요한 변경을 할 때는 본인 확인을 철저하게 하는 수밖에 없다. 그런데 무수한 사이트 해킹, 사업자의 악의적인 혹은 무개념한 관리로 인한 유출 등으로 개인정보가 공공재가 되버린 상황에서 현실적인 어려움도 있다. 미국의 주요 통신사들은 서비스 변경을 위해 별도로 암호를 설정할 수 있게 하는 등 계정 보안을 강화했다. 우리 통신사들은 어떤지 모르겠다. 그리고 심 해킹을 당하면 피해자의 핸드폰은 유심(USIM) 등록이 해제되어 불통 상태가 되므로, 이유 없는 불통 발생시 즉시 신고해야 피해를 줄일 수 있다. 미국의 한 AT&T 고객은 핸드폰이 불통이 된 걸 발견하자마자 매장으로 달려갔지만 이미 150만 달러 어치의 가상화폐가 사라진 후였다고 한다. 그런데 미국에선 심 스와핑에 내부자(통신사 직원)와 결탁하는 경우가 종종 있다. 이런 경우에는 해커가 목적을 달성한 후에 재빨리 원상회복 시킬 수 있어, 피해자가 눈치채기가 더 어렵다. 통신사들은 내부통제 수단이 있지만 쉽게 우회할 수 있다고 한...

크리덴셜 스터핑(Credential Stuffing) 이미 확보한 로그인 정보(크리덴셜)를 다른 계정에 무차별 대입하는 Brute Force 공격이다. 여러 사이트에 동일한 혹은 이전에 사용했던 크리덴셜을 사용하는 사람이 많다는 점을 이용하는 것이다. 크리덴셜 스터핑에 의해 피해가 발생했을 때, 책임 소재에 대한 문제가 발생한다. 암호는 계정마다 다르게 사용해야 한다는 것은 암호 관리의 기본이므로, 일단은 이용자의 과실이라 할 수 있다. 그러나 사이트 관리상의 과실도 함께 작용한다. 소수의 IP에서 다량의 로그인 시도가 행해지는 이상 행동은 탐지해야 마땅하다. 또한 캡챠(Captcha)나 2단계 인증 같은 방어 수단이 있으므로, 사이트에 요구되는 보안 수준에 따라 이런 방어 수단 구비 여부가 주의의무 위반 여부를 판단하는 데 고려될 수 있다. 우리은행 해킹(2018년) 6월 23~27일 동안 우리은행 인터넷뱅킹에 대해 3개의 IP를 통해 85만 회의 로그인 시도가 있었고, 그 중 5만6천여 건이 성공했다. 다른 은행에서 유출된 로그인 정보를 이용한 것으로 추정되고 있다. 이체 등 금융거래를 위해서는 추가 인증이 필요하므로 직접적인 피해는 없을 것이다. 그러나 계좌 정보와 자산 상태 같은 중요한 개인정보가 노출됐으므로 보이스피싱 등 2차적인 피해가 우려된다. 알툴즈 해킹(2017년) 해커가 2월~9월 무려 7개월에 걸쳐 다른 곳에서 탈취한 크리덴셜을 이용해 알패스에 브루트 포스 공격을 가했다. 알패스는 암호를 저장, 관리하는 서비스다. 그 결과 17만여 계정과 이에 저장된 약 2천5백만 개의 암호가 유출됐다. 해커는 이 개인정보를 이용해 피해자의 포털에 접속하여 주민증, 카드, 사진 등을 훔쳤고, 이를 이용해 대포폰 개통, 가상화폐 출금 등 추가 범죄를 저질렀다. 알패스는 암호 관리라는 특히 중요한 서비스임에도 불구하고 적절한 탐지 및 방어 장치를 갖추지 않은 과실이 인정되어 처벌을 받았다. 관련 자료 해킹이 힘든...

Roaming Mantis의 탄두 근래 DNS를 하이재킹하여 악성 사이트로 연결시키는 악성코드, 로밍 맨티스가 널리 퍼지고 있다. 이 악성 사이트에서는 피해자의 기기에 따라 다른 행동을 하는데 안드로이드 기기에는 추가적인 악성 앱 설치를, 아이폰에서는 피싱을, PC에서는 가상화폐 채굴을 한다. Trojan.Android.Banker는 로밍 맨티스가 안드로이드 기기에 설치하는 트로이 목마이다. 실질적인 악성 행위는 이것이 담당하므로 payload(탄두)라고 할 수 있다. 정보 탈취형인 Banker family는 윈도우와 안드로이드에서 맹활약 중이다. 안드로이드 트로이 목마 중에서는 Lokibot도 배울 게 많은 녀석이다. 안드로이드 트로이 목마 이스트시큐리티에서 트로얀 뱅커를 상세히 분석했는데, 이를 간략히 소개한다. 설치시 관리자 권한을 비롯한 무수한 권한을 요구하기 때문에, 거의 모든 악행이 가능하다. 관리자 권한을 갖기 때문에, 먼저 권한을 박탈하지 않고는 삭제가 불가능하다. 피해자가 설치하는 앱을 가짜 앱으로 바꿔치기 한다. 악성 행위를 지속하기 위해 절전모드 진입을 막고, 배터리 최적화 옵션을 해제한다. 통화를 녹음하고, SMS와 MMS를 탈취한다. 따라서 2단계 인증도 돌파할 수 있다. 계정 관련 정보와 기기에 대한 상세 정보를 탈취한다. 앱 정보를 탈취한다. 은행, OTP, 게임 앱 등을 주로 노린다. C&C 서버로부터 실시간으로 명령을 받아 악성 행위를 수행한다. 관련 자료 공유기 해킹하여 DNS 하이재킹하는 Roaming Mantis 악성코드 정보 탈취 악성코드 Trojan.Banker.MSIL.Evital 로키봇(Lokibot) 악성코드 참고 자료 Trojan.Android.Banker 악성코드 분석 보고서  

OPT 등 2중 인증(2단계 인증, 2FA, 2 Factor Authentication)을 우회할 수 있는 해킹 툴이 또 공개됐다. EvilGinx라는 중간자 공격(man-in-the-middle attack) 도구이다. 공격은 일단 피싱에서 시작된다. 구조는 [피해자] - [피싱 사이트] - [정상 사이트] 로 요약할 수 있다. 피싱 사이트에서 ID, Password, 2중 인증 코드를 수집해서 정상 사이트에 전송한다. 정상 사이트에선 올바른 로그인으로 판단해서 세션 쿠키(session cookie)를 발급해 주는데, 이것을 가로챈다. 이 모든 과정은 피싱 사이트에 설치된 EvilGinx가 수행한다. 이 공격 방법은 1회성인데다 난이도가 높아서 광범위하게 나타날 가능성은 적다고 한다. session cookie는 정상적으로 로그인했다는 자격 증명으로 credential, token이라고도 한다. 해커가 이것을 탈취하면 암호를 모르더라도 피해자 행세를 할 수 있다. 이런 수법을 pass-the-cookie를 통한 session hijacking이라 한다. 이중 인증을 우회하는 수법은 이미 알려진 것만 10개가 넘으며, 특히 일반 SMS는 가로채기 쉽다. 또한 자격 증명을 탈취하는 악성코드도 많으며, 최근에만도 Time2Do, FaceX 같은 악성코드가 유행했다. 그럼에도 불구하고 이중 인증은 해커에겐 아주 까다로운 장애물이라고 한다. 이중 인증을 잘 활용하되, 너무 과신하여 피싱이나 악성코드에 대한 경계를 늦추지 말라는 것이 EvilGinx를 공개한 화이트 해커의 조언이다. 관련 자료 페이스북 계정 탈취하는 Time2Do 악성코드 참고 자료 This Tool Can Hack Your Accounts Even with Two-Factor Authentication Hacker Kevin Mitnick shows how to bypass 2FA Phishing Attack Bypasses Two-Factor Authen...