유명 웹사이트 유사 도메인 활용 타깃 공격 ‘주의보’
상태바
유명 웹사이트 유사 도메인 활용 타깃 공격 ‘주의보’
  • 김선애 기자
  • 승인 2015.05.12 16:07
  • 댓글 0
이 기사를 공유합니다

웹센스 ‘타이포스쿼팅’ 악용 스피어피싱 공격…웹사이트 주소 살짝 바꿔 유명 웹사이트로 위장

유명 웹사이트와 유사한 도메인을 활용해 이메일 타깃공격을 진행하는 스피어피싱을 주의해야 한다는 경고가 나왔다.

웹센스 보안연구소가 12일 발표한 보고서에 따르면 최신 스피어피싱이 정상적인 이메일 메시지가 전송된 것처럼 보이도록 하면서 타이포스쿼티드 도메인을 악용한 것으로 확인됐다.

타이포스쿼팅(Typosquatting) 은 유명 도메인과 유사한 도메인을 선점해놓고 이용자가 모르는 사이에 광고 사이트로 이동하게 하는 것을 말한다. 사용자가 인터넷 사이트 주소의 철자를 빠뜨리거나 잘못 입력했을 때 엉뚱한 사이트로 접속되도록 하는 방법으로, URL 하이재킹이라고도 한다.

구체적인 예를 들어보면, 야후 yyahoo.com, AOL wwwaol.com, MSN www-msn.com, 넷스케이프 Netcsape.com, 페이스북 racebook.com, 구글 Goole.com 등이 있다.

웹센스 CSI 팀은 아시아태평양 지역에서 웹센스 고객의 타이포스쿼팅을 의도하도록 등록된 666개의 도메인을 확인했다. 이러한 도메인을 통해 스피어피싱 메일이 발송됐을 때, 메일을 수신한 사람은 눈에 익숙한 철자가 있는 도메인 주소만 보고 의심 없이 이메일 첨부파일이나 링크를 클릭하게 돼 스피어피싱 공격을 당하게 된다.

웹센스 보고서에서는 유명 도메인과 유사한 이메일 도메인을 블랙리스트로 등록하고, ▲전신 지급(wire payment) ▲송금 요청(wire request) ▲전신 이체(wire transfer) ▲송금 업데이트(wire update) 등의 용어나 문구가 포함된 메일에 대해 블랙리스트 차단을 하고 격리할 것을 조언했다.

보고서는 덧붙여 “보낸 사람의 이메일 도메인이 유사한 도메인을 사용하고 이메일에 ‘스팸 신고’ 문구가 포함된 경우, 해당 조직이 표적이 된 가능성이 크다”며 “유사한 메일일 수신하면 보안팀 및 관련 조직에 신고하고 추가 조치를 취할 수 있도록 사용자 교육을 수행해야 한다”고 조언했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.