"사이버 범죄자가 URL을 위장하는 방법"

공격자가 겉보기에 안전해 보이는 URL에서 악성 피싱 사이트로 피해자를 리디렉션하는 데 사용하는 방법

기업 정보 보안 전문가는 일반적으로 위험한 링크를 클릭하지 않으므로 사이버 위협에 취약하지 않다고 말하는 자신감 있는 직원을 꽤 많이 알고 있습니다. 때때로 이러한 직원은 회사 보안 조치를 해제하도록 요청할 때 이 주장을 사용하여 작업을 방해합니다. 

그러나 공격자는 종종 악성 및 피싱 링크를 위장하여 메일 필터와 인간 관찰자 모두에게 혼동을 주려고 합니다. 

그들이 원하는 것은 피해자가 (우리가 반복적으로 조언하는 대로 URL을 검사하고 있더라도) 실제로 다른 주소로 연결되는 주소를 클릭하도록 하는 것입니다. 

다음은 사이버 범죄자가 악성 또는 피싱 URL을 숨기는 데 사용하는 가장 일반적인 방법입니다.

1. 주소의 @ 기호

주소에서 실제 도메인을 숨기는 가장 간단한 방법은 URL에 @ 기호를 사용하는 것입니다. 

이것은 로그인과 비밀번호를 웹사이트 주소에 통합하는 데 사용할 수 있는 완전히 합법적인 기호입니다. 

HTTP는 단순히 login:password@domain.com 형식을 사용하여 URL을 통해 웹 서버에 자격 증명을 전달할 수 있습니다. 

@ 기호 앞의 데이터가 올바르지 않고 인증에 적합하지 않은 경우 브라우저는 해당 데이터를 삭제하고 

@ 기호 뒤에 있는 주소로 사용자를 리디렉션합니다. 

따라서 사이버 범죄자들은 이를 사용하여 설득력 있는 페이지 이름을 제시하고 합법적인 사이트의 이름을 사용하고 @ 기호 뒤에 실제 주소를 배치합니다. 

예를 들어, 다음과 같이 위장한 블로그 주소를 살펴보십시오.



Google 도메인 어딘가에 호스팅된 이름에 많은 단어가 있는 페이지처럼 보이지만 브라우저에서 http://kaspersky.com/blog/ 로 이동합니다.

2. IP 주소 대신 숫자

이전 방법에서 공격자는 실제 주소가 여전히 URL에 남아 있기 때문에 실제 주소에서 주의를 분산시키기 위해 긴 페이지 이름으로 사용자를 혼동하려고 시도하는 경우가 많습니다. 

그러나 사이트의 IP 주소를 정수로 변환하여 완전히 숨길 수 있는 방법이 있습니다. 

아시다시피 IP 주소는 데이터베이스에 매우 편리하게 저장되지 않습니다. 따라서 어느 시점에서 IP 주소를 정수(저장하기가 훨씬 더 편리함)로 또는 그 반대로 변환하는 메커니즘이 발명되었습니다. 

그리고 요즘 최신 브라우저는 URL에서 숫자를 보면 자동으로 IP 주소로 변환합니다. 동일한 @ 기호와 함께 사용하면 실제 도메인을 효과적으로 숨길 수 있습니다. 회사 웹 사이트에 대한 링크는 다음과 같습니다.



이 트릭을 사용하여 사이버 범죄자는 

@ 기호 앞의 도메인에 주의를 집중하고 다른 모든 것을 일종의 매개변수처럼 보이게 하려고 합니다.

다양한 마케팅 도구는 종종 모든 종류의 영숫자 태그를 웹 링크에 삽입합니다.

3. URL 단축 서비스

실제 URL을 숨기는 또 다른 매우 간단한 방법은 합법적인 링크 단축 서비스 중 하나를 사용하는 것입니다. 

짧은 링크 안에 무엇이든 포함할 수 있으며 클릭하지 않고는 거기에 무엇이 숨겨져 있는지 확인하는 것이 불가능합니다.

4. Google 가속 모바일 페이지

몇 년 전 Google과 일부 파트너는 휴대기기에서 웹페이지를 더 빠르게 로드할 수 있도록 지원하는 서비스인 Google AMP 프레임워크를 만들었습니다. 

2017년 Google은 AMP가 적용된 페이지가 AMP가 없는 동일한 페이지보다 10초 이내에 로드되고 10배 적은 데이터를 사용한다고 주장했습니다. 이제 공격자는 이 메커니즘을 피싱에 사용하는 방법을 배웠습니다. 

이메일에는 'google.com/amp/s/'로 시작하는 링크가 포함되어 있지만 사용자가 링크를 클릭하면 Google에 속하지 않은 사이트로 리디렉션됩니다. 

일부 피싱 방지 필터조차도 종종 이 속임수에 속습니다: Google의 명성으로 인해 이러한 링크가 충분히 신뢰할 수 있다고 생각합니다.

5. 이메일 서비스 제공업체

다른 사람의 URL 뒤에 페이지를 숨기는 또 다른 방법은 ESP를 사용하는 것입니다. 

즉, 합법적인 뉴스레터 및 기타 우편물을 만들기 위한 서비스입니다. 우리는 이미 이전 게시물 중 하나에서 이 방법에 대해 자세히 썼습니다. 

요컨대, 범죄자는 이러한 서비스 중 하나를 사용하고, 메일 캠페인을 만들고, 피싱 URL을 입력하고, 결과적으로 ESP 회사의 명성을 가진 기성품 깨끗한 주소를 얻습니다. 

물론 ESP 회사는 이러한 서비스 오용에 맞서 싸우려고 노력하지만 항상 잘 되는 것은 아닙니다.

6. Baidu를 통해 리디렉션

중국 검색 엔진 Baidu는 검색 결과를 표시하는 데 매우 흥미로운 접근 방식을 가지고 있습니다. 

Google과 달리 사이트에 대한 링크를 제공하지 않고 대신 검색한 사이트로 리디렉션하여 자체에 대한 링크를 만듭니다. 

즉, 악성 URL을 Baidu로 위장하기 위해 사이버 범죄자는 페이지를 검색하고(정확한 주소를 입력하면 매우 간단합니다) 링크를 복사하여 피싱 이메일에 붙여넣기만 하면 됩니다.

그리고 대체로 URL을 리디렉션하거나 페이지를 캐시할 수 있는 다른 서비스가 얼마나 많은지 알 수 없습니다(자신의 필요에 따라 또는 콘텐츠 전달의 편리함이라는 이름으로).

※ 실용적인 테이크 아웃

직원들이 아무리 자신감이 있더라도 링크가 위험한지 여부를 실제로 이해할 수 있는지 의심스럽습니다. 

따라서 보호 솔루션으로 백업하는 것이 좋습니다. 

또한 회사 메일 서버 수준과 인터넷 지원 작업 장치 수준 모두에서 이러한 솔루션을 사용하는 것이 좋습니다.

범죄자가 URL을 위장하는 방법 | Kaspersky 공식 블로그

#카스퍼스키 #사이버범죄 #url위장 #url피싱 #url피싱사이트 #url리디렉션피싱 #baidu #카스퍼스키보안 #카스퍼스키백신