1. 개요


This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

해석하면 Chrome, Firefox, Opera Web Browser에서 발견하기 거의 불가능한 피싱 공격.. 쯤 될려나..


원문 보기 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

참고 : https://www.xudongz.com/blog/2017/idn-phishing/


요약해서...

데모를 확인해보면 apple.com 으로 링크된 페이지를 클릭하면 




피싱 사이트로 연결된다. -_-




2. 분석


분명 링크된 페이지는 apple.com 으로 연결되는데 어떻게 피싱 사이트로 연결되는가?

답은 퓨니코드(punycode)와 키릴(Cyrillic) 문자에 있다.


퓨니코드를 이용하면 도메인 이름에 모든 유니코드 문자를 사용할 수 있기 때문에, IDNA를 사용하여 피싱공격을 할 수 있다.

예를 들어 "wikipedia.org"라는 도메인을 스푸핑하기 위해서 "wikipеdiа.org"(IDNA에서 xn--wikipdi-8fg6b.org) 도메인을 사용할 수 있다. 굵게 표시한 키릴 문자는 보통 로마자와 비슷하거나 같게 보이기 때문에 사용자가 같은 도메인이라 인식할 가능성이 높아진다.


출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C


좀 더 설명하면..

2005년 다국어 도메인은 '동형 이의어 스푸핑 공격(Homograph Spoofing Attacks)'에 대한 취약점이 발견되었다. 예를 들어, 유니코드 코드 포인트가 U+0430인 키릴 문자(Cyrillic) 'a'는 유니코드 코드 포인트가 U+0061인 라틴어 소문자 'a'와 코드 포인트는 다르지만 모양이 동일하다. 이용자가 키릴 문자 다국어 도메인 'xn--pypal-4ve.com' 접속 시 웹브라우저 주소창에는 'pаypal.com'로 표시되어 이용자를 혼동시키고 해킹에 악용될 소지가 있는 것이다.


출처 : http://networkers.egloos.com/1120623


즉, https://xn--80ak6aa92e.com/ 접속 시 Chrome, Firefox, Opera Web Browser에서는 Unicode (다국어) 형태로 URL을 보여주기 때문에 apple.com 으로 접속한 것처럼 속일 수 있다는 것이다.


- 소스를 확인해보면 이해가 빠르다.


- explorer에서는 https://xn--80ak6aa92e.com/ 그대로 노출된다.



3. 대응방안

- 잘 알려진 사이트가 피싱 대상이 되므로 포탈사이트나 검색사이트에서 조회해서 안전하게 접속하는 방법

- 직접 URL을 입력하여 접속하는 방법

- 잘 알지 못하는 사이트에서는 링크 타고 접속하지 않기

- URL을 퓨니코드로 보여지도록 웹 브라우저 설정하기

- Chrome, Firefox, Opera Web Browser가 이 문제를 해결하기 전까지 쓰지 말기 -_-

- 피싱에 자주에용되는 금융, 포탈, 쇼핑몰 등은 이미 SSL이 구축되어 있으므로 SSL 인증서 정보 확인하기 등이 있다.



알아야 속지 않으니, 잘 기억해두자!!



참고 : 

- 한글-퓨니코드 변환기 : https://whois.kisa.or.kr/idnconv/index.jsp




P.S :

2017.4.17에 포스팅 된 글을 소개했지만, 이미 2005년도 관련 기법은 공개되었다. (원문에서는 2001년 Homograph 공격으로 알려져 있다고 한다...)

- 현재까지도 Chrome, Firefox, Opera Web Browser에서 해당 기법을 사용하여 공격할 수 있음을 시연했다.

  해당 브라우저들은 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여주는 방식을 사용한다.

  하지만, 이 공격은 SSL을 이용함으로써 웹 브라우저로 하여금 신뢰할 수 있는 도메인으로 믿게끔 해당 기능을 역으로 이용한 것으로 보여진다.


사파리, 파이어폭스, 오페라 웹 브라우저는 이 문제를 해결하기 위해 국제화된 웹사이트에 접속하는 것을 제한하는 대신, 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여 주고 그렇지 않은 도메인은 "xn--"으로 시작하는 퓨니코드 이름으로 보여 주는 방법을 쓴다. 단 ISO 8859-1에 있는 문자들은 섞여 쓰여도 이 취약점을 쓸 수 있는 가능성이 적기 때문에, 명시적으로 허용하지 않아도 유니코드 이름으로 표시된다. 사파리도 보안 업데이트 2005-003 이후로 특히 피싱에 잘 사용되는 그리스 문자, 키릴 문자, 체로키어가 들어 있는 도메인을 이와 비슷한 방법으로 표시하는 방법을 사용하고 있다. 


출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C



+ Recent posts