해킹하면 어떤 이미지가 떠오르시나요?
천재 해커? 알 수 없는 코드들이 좌르륵 올라가는 모습? 해킹 프로그램 막 만들고 그걸로 서버에 침투해서 해킹하는 모습?
그런데, 요새는 그렇게 안 해도 다 해킹할 수 있어요. 어떻게? 이메일만으로도 요.
"헐... 어떻게 그럴 수 있지?" 싶죠? 그걸 바로 피싱(Phishing)이라고 합니다.
* 피싱은 개인정보(private) + 낚시(fishing)의 합성어입니다. 개인정보를 낚는 것이죠.
보이스피싱은 다 아시죠? 보이스피싱은 목소리를 이용한 것이고, 피싱은 이메일을 이용합니다.
보이스피싱부터 생각해봅시다.
사기꾼은 내가 '금감원 직원'인 것처럼 위장해서 전화합니다.
피싱은?
해킹할 웹페이지 '보안팀 직원'처럼 위장해서 메일 보냅니다. 그것도 친절하게 다가가면서요
이런 해커들의 찌질한 해킹 방법을 알아봅시다.
1단계 : 해커는 해킹할 웹사이트 보안팀 직원 또는 관리자 비슷한 메일 주소를 만듭니다.
메일 주소도 그럴듯해요. 진짜 daum.net이나 naver.com과 비슷한 메일 주소를 씁니다. 보내는 사람 이름은 "다음 관리자" 라던가 "네이버보안팀" 이런 식으로 씁니다. 예를 들면 이런 식이죠.
네이버보안팀(security1@naver.co.kr)
(자세히 보면 naver 주소도 틀렸어요. naver.com인데 co.kr 이죠. 죄송해요 네이버!!!)
도메인 끝자리를 바꾼다던가, 아니면 도메인 주소를 살짝 바꾸는 방법을 많이 씁니다. 다음의 경우 daum.net을 daum.com, daum.co.kr 등이 있고, coupang.com인데 cupang 이라던가 coopang 이런 식으로 바꾸는 것이죠. 바꾸는 방법은 무궁무진합니다. 해커들도 나름 최선을 다해요.
2단계 : 메일 제목을 사용자가 겁 먹게 또는 그럴듯하게 만듭니다.
"***님 계정으로 해킹 시도 감지"/ "***님 비밀번호 기한이 만료되었습니다" 등이지요.
3단계 : 해킹할 대상의 비밀번호를 입력할 수 있게 친절하게 안내합니다.
사용자가 사이트까지 이동하기 귀찮을까봐 친절하게 이메일에서 직접 비밀번호를 바꿀 수 있게 도와줍니다.
4단계 : 사용자가 입력한 "현재 비밀번호"를 해커의 pc에 저장하여 해당 웹사이트를 해킹합니다.
간단하죠? 여기서 좀 더 똑똑한 해커들은 웹페이지도 만듭니다. 이메일에 위조된 웹페이지 링크를 걸어놓아 클릭하면 위조된 웹페이지로 이동합니다. 위조된 웹페이지는 원래 웹페이지와 똑같습니다. 사용자가 거기에서 현재 비밀번호와 새로운 비밀번호를 입력하면 내 비밀번호가 노출되는 것이죠.그러면 내가 속은 줄 전혀 몰라요 ㅠㅠ
좀 더 자세하게 설명하자면 해커는
1. 은행 홈페이지와 똑같은 웹페이지를 만듭니다.
2. 그리고 이메일에 위조된 웹페이지 링크를 걸어놓습니다.
3. 사용자는 이메일을 받고 이메일에 들어간 url을 클릭하면 위조된 은행 홈페이지로 연결됩니다.(url도 앞서 말했듯이 교묘하게 속입니다.)
4. 그 위조된 페이지에 가면 친절하게도 "아이디와 비밀번호, 보안카드 비밀번호를 모두 입력하세요"라고 안내해 줍니다.
여기서 비밀번호 등을 입력하면 모두 털리는 것이죠. 이건 좀 오래된 방법이라 요새는 쓰지는 않습니다만, 주의하실 필요는 있죠(게다가 요새는 보안카드보다 otp를 주로 쓰니 인기가 식었어요)
지나치게 친절해도 위험할 수 있어요. 그러니 비밀번호는 직접 해당 웹페이지로 가서 변경하는 것이 안전합니다.
'정보보안' 카테고리의 다른 글
| 새로운 APT를 소개합니다.(feat. 해커) (0) | 2021.08.24 |
|---|---|
| wifi 아무 생각 없이 쓰다가는 해킹 당합니다. (0) | 2021.08.22 |
| 변이 바이러스? 변이 비밀번호!! (0) | 2021.08.20 |
| 아니 이 좋은 걸 왜 안 해요? 업데이트!! (0) | 2021.08.12 |
| 당장 노트북 카메라를 가려야하는 이유 (0) | 2021.08.12 |