상세 컨텐츠

본문 제목

페이스북 계정 탈취를 노리는 피싱 공격 주의!

악성코드 분석 리포트

by 알약(Alyac) 2015. 4. 1. 14:22

본문

페이스북 계정 탈취를 노리는 피싱 공격 주의! 



최근 들어 회원 수가 많은 페이스북(Facebook) 비공개 그룹을 중심으로 계정탈취 피싱이 극성을 부리고 있어 각별한 주의가 필요합니다. 비공개로 운영되는 페이스북 그룹의 경우 보안전문 모니터링에 쉽게 노출되지 않아 피싱 우범지역으로 번지고 있는 추세입니다. 더군다나 회원 수가 13,000여 명에 이르고 미성년자가 다수 가입되어 있는 대규모 그룹에 성적 노출수위가 높은 음란 화면까지 등록해 회원들을 현혹하고 있어 청소년들에게도 악영향을 끼치고 있습니다.


공격자는 다음과 같은 절차를 통해 불특정 다수의 페이스북 계정정보를 훔쳐내고 있습니다. 먼저 의도적으로 회원이 많은 페이스북 비공개 그룹에 가입하거나 기존에 미리 탈취한 계정을 활용해 피싱 글을 연쇄적으로 등록합니다. 기존 회원들이 등록된 링크를 클릭하면, 구글 블로그나 특정 웹 사이트로 이동시킵니다. 이후 자세한 내용을 보기 위해서는 페이스북 로그인이 필요하다며 아이디와 암호를 직접 입력하도록 유도합니다.


여기서 주의해야 할 점이 있습니다. 페이스북 비공개 그룹에서 글을 볼 수 있다는 것은 이미 로그인이 되어 있는 상태라는 뜻입니다. 따라서 페이스북 공식 사이트가 아닌 곳에서 다시 로그인을 요청하는 경우 100% 사기라는 점을 명심해야 합니다.


페이스북 피싱 수법 절차


로그인을 유도하는 웹 페이지 화면은 허위로 조작된 가짜 사이트이지만, 얼핏 보기에 실제 페이스북 로그인 화면과 유사하게 만들어져 있습니다. 꼼꼼하게 살펴보지 않고 이메일과 비밀번호를 입력한다면 자신의 개인정보가 공격자에게 유출되어 피해가 발생할 수 있습니다.


특히, 공격자는 탈취한 페이스북 계정을 통해 사용자가 사전에 가입한 또 다른 비공개 페이스북 그룹에 쉽게 접근할 수 있습니다. 이 경우 후속 공격으로 발전하여 피해자가 가해자로 변질될 수 있습니다.



페이스북 계정 탈취 피싱 공격 주요 내용


1. 유포과정

공격자는 사전에 페이스북 로그인 정보를 수집하기 위한 데이터베이스 서버를 구축합니다. 이후 마치 실제 페이스북 로그인 화면처럼 생긴 가짜 웹 사이트를 치밀하게 준비합니다.


정보탈취 및 수집시스템 환경이 완료되면 회원 수가 많은 불특정 페이스북 그룹에 가입합니다. 공격자는 해당 페이스북 그룹에 동영상으로 위장한 가짜 음란 이미지를 공개하여 사용자들이 허위 사이트에 로그인하도록 유도합니다.


아래 화면은 최근 있었던 여러 사례 중 실제 페이스북 그룹에 등록됐던 화면으로, 노출수위가 높아 부분적으로 모자이크 처리를 하였습니다.


페이스북 피싱 실제 사례 #01


페이스북 피싱 실제 사례 #02


페이스북 피싱 실제 사례 #03


페이스북에 등록된 화면들은 마치 동영상 재생 화면처럼 꾸며져 있지만 실제로는 피싱 사이트로 연결되는 사진 파일입니다. 이 수법은 음란화면을 이용해 이용자들의 클릭을 유도하고 있으며, 동영상 재생을 위해 페이스북 계정 로그인이 필요한 것처럼 조작해 이메일 주소와 암호를 탈취해 갑니다.



2. 분석정보

만약 페이스북 회원이 가짜 동영상 화면의 링크를 클릭하게 되면 공격자가 제작한 또 다른 웹 사이트로 이동하게 됩니다. 


또 다른 사례를 살펴보면, 구글이 제공하는 개인 홈페이지 서비스를 통해 피싱을 유도하고 있습니다. 이 피싱 사이트에서는 공통적으로 베트남어가 사용되고 있습니다.


구글 서비스로 만든 피싱 사이트 #01


구글 서비스로 만든 피싱 사이트 #02


구글 서비스로 만든 피싱 사이트 #03


각각의 사이트에서 조작된 동영상 재생 이미지를 클릭하면 링크된 또 다른 사이트로 연결됩니다. 초반에 사용된 웹 사이트는 베트남어와 영어로 만들어진 가짜 페이스북 로그인 사이트였지만, 최근에는 한국어로 만들어진 사이트도 발견되었습니다.


가짜 페이스북 로그인 화면 #01


가짜 페이스북 로그인 화면 #02


만약 이용자가 페이스북을 가장한 가짜 로그인 화면에 이메일(전화번호)과 비밀번호를 입력하고 [로그인] 버튼을 클릭하게 되면 아래와 같이 공격자의 서버로 정보가 유출됩니다.


해커에게 유출된 페이스북 계정정보 


계정정보 탈취가 완료되면 아래와 같이 베트남어로 운영 중인 성인 사이트로 연결됩니다.


정보유출 후 연결되는 베트남 성인 사이트



페이스북 계정 탈취 피싱 공격 정리 및 결론

페이스북 그룹 중 회원이 많은 곳을 중심으로 각종 사이버범죄가 기승을 부리고 있습니다. 이와 같은 피싱 공격을 통해 유출된 페이스북 계정 정보는 대포 통장 임대, 불법광고 등 각종 사이버 범죄에 악용될 가능성이 있습니다.


이처럼 페이스북 그룹을 통한 은밀한 범죄의 유혹이 끊이지 않고 있으므로, 사용자들은 이와 유사한 보안위협에 노출되지 않도록 주의를 기울여야 합니다. 
       
현재 알약에서는 한국인터넷 진흥원(KISA)과 페이스북 피싱 사이트에 대한 합동 대응을 진행하고 있으며, 새로운 피싱 사이트를 지속적으로 차단하기 위해 협력하고 있습니다.

관련글 더보기

댓글 영역