securityse lab

1. 개요

This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

해석하면 Chrome, Firefox, Opera Web Browser에서 발견하기 거의 불가능한 피싱 공격.. 쯤 될려나..

원문 보기 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

참고 : https://www.xudongz.com/blog/2017/idn-phishing/

요약해서...

데모를 확인해보면 apple.com 으로 링크된 페이지를 클릭하면 

피싱 사이트로 연결된다. -_-

2. 분석

분명 링크된 페이지는 apple.com 으로 연결되는데 어떻게 피싱 사이트로 연결되는가?

답은 퓨니코드(punycode)와 키릴(Cyrillic) 문자에 있다.

퓨니코드를 이용하면 도메인 이름에 모든 유니코드 문자를 사용할 수 있기 때문에, IDNA를 사용하여 피싱공격을 할 수 있다.

예를 들어 "wikipedia.org"라는 도메인을 스푸핑하기 위해서 "wikipеdiа.org"(IDNA에서 xn--wikipdi-8fg6b.org) 도메인을 사용할 수 있다. 굵게 표시한 키릴 문자는 보통 로마자와 비슷하거나 같게 보이기 때문에 사용자가 같은 도메인이라 인식할 가능성이 높아진다.

출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C

좀 더 설명하면..

2005년 다국어 도메인은 '동형 이의어 스푸핑 공격(Homograph Spoofing Attacks)'에 대한 취약점이 발견되었다. 예를 들어, 유니코드 코드 포인트가 U+0430인 키릴 문자(Cyrillic) 'a'는 유니코드 코드 포인트가 U+0061인 라틴어 소문자 'a'와 코드 포인트는 다르지만 모양이 동일하다. 이용자가 키릴 문자 다국어 도메인 'xn--pypal-4ve.com' 접속 시 웹브라우저 주소창에는 'pаypal.com'로 표시되어 이용자를 혼동시키고 해킹에 악용될 소지가 있는 것이다.

출처 : http://networkers.egloos.com/1120623

즉, https://xn--80ak6aa92e.com/ 접속 시 Chrome, Firefox, Opera Web Browser에서는 Unicode (다국어) 형태로 URL을 보여주기 때문에 apple.com 으로 접속한 것처럼 속일 수 있다는 것이다.

- 소스를 확인해보면 이해가 빠르다.

- explorer에서는 https://xn--80ak6aa92e.com/ 그대로 노출된다.

3. 대응방안

- 잘 알려진 사이트가 피싱 대상이 되므로 포탈사이트나 검색사이트에서 조회해서 안전하게 접속하는 방법

- 직접 URL을 입력하여 접속하는 방법

- 잘 알지 못하는 사이트에서는 링크 타고 접속하지 않기

- URL을 퓨니코드로 보여지도록 웹 브라우저 설정하기

- Chrome, Firefox, Opera Web Browser가 이 문제를 해결하기 전까지 쓰지 말기 -_-

- 피싱에 자주에용되는 금융, 포탈, 쇼핑몰 등은 이미 SSL이 구축되어 있으므로 SSL 인증서 정보 확인하기 등이 있다.

알아야 속지 않으니, 잘 기억해두자!!

참고 : 

- 한글-퓨니코드 변환기 : https://whois.kisa.or.kr/idnconv/index.jsp

P.S :

- 2017.4.17에 포스팅 된 글을 소개했지만, 이미 2005년도 관련 기법은 공개되었다. (원문에서는 2001년 Homograph 공격으로 알려져 있다고 한다...)

- 현재까지도 Chrome, Firefox, Opera Web Browser에서 해당 기법을 사용하여 공격할 수 있음을 시연했다.

  해당 브라우저들은 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여주는 방식을 사용한다.

  하지만, 이 공격은 SSL을 이용함으로써 웹 브라우저로 하여금 신뢰할 수 있는 도메인으로 믿게끔 해당 기능을 역으로 이용한 것으로 보여진다.

개인정보의 안전성 확보조치 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령 (이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

- 요약하면 개인정보보호법의 기술적, 관리적, 물리적 안전조치에 관한 최소한의 기준을 정의한 고시임

- 개인정보보호법, CPPG, PIA, ISMS, PIMS 등을 공부하거나 심사시 필수적으로 알아야 할 내용임

제정 2011. 9.30. 행정안전부고시 제2011-43호

개인정보의 안전성 확보조치 기준 고시 및 해설서.pdf

개정 2014.12.30. 행정자치부고시 제2014- 7호

개인정보의 안전성 확보조치 기준 해설서(20150217).pdf

개정 2016. 9. 1. 행정자치부고시 제2016-35호

개인정보의 안전성 확보조치 기준 해설서(20161230).pdf

출처 : https://www.privacy.go.kr/

1. SMTP 정의

SMTP(Simple Mail Transfer Protocol), 간이 우편 전송 프로토콜

간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP)은 인터넷에서 이메일을 보내기 위해 이용되는 프로토콜이다. 사용하는 TCP 포트번호는 25번이다. 상대 서버를 지시하기 위해서 DNS의 MX레코드가 사용된다. RFC2821에 따라 규정되어 있다. 메일 서버간의 송수신뿐만 아니라, 메일 클라이언트에서 메일 서버로 메일을 보낼 때에도 사용되는 경우가 많다.

출처 : (위키백과 - https://ko.wikipedia.org/wiki/%EA%B0%84%EC%9D%B4_%EC%9A%B0%ED%8E%B8_%EC%A0%84%EC%86%A1_%ED%94%84%EB%A1%9C%ED%86%A0%EC%BD%9C)

2. SMTP relay

일반적으로 이메일은 본인이 사용하고 있는 메일주소를 관리하고 있는 메일서버를 통하여 타인과 주고 받는다.

예를들어 id@mail.net을 사용하고 있다면, mail.mail.net 이 메일서버 주소가 된다.

이때 메일서버는 해당 이메일이 메일서버에 등록된 사용자인지 확인하는 과정을 거치게 된다. (여러방법이 있겠지만 SMTP AUTH 방식이 보편적이다.)

하지만 외부에서 메일서버를 경유하여(일반적으로 IP 또는 IP 대역을 Open하는 방식으로 별도의 인증없이 사용된다. - 웹 어플리케이션에서 메일 발송 등) 다른 메일서버로 이메일을 보내는 방식을 SMTP Relay 라고 한다.

3. SMTP open relay

4. SMTP open relay 점검

SMTP open relay 설정이 되어 있는지 점검 할 수 있는 online 사이트들이 다수 존재한다.

필요할 때 유용하게 쓰자...

online 점검 사이트 : 아래 사이트 이외에도 다양하게 존재한다.

http://www.mailradar.com/openrelay/

[이미지 수정]

http://www.nmonitoring.com/open-relay-test.html

[이미지 수정]

http://www.aupads.org/test-relay.html

[이미지 수정]

https://mxtoolbox.com/SuperTool.aspx

[이미지 수정]