전국민 보안 업그레이드! 알약 블로그

주메뉴


포스팅 내용

더욱 교묘해지고 있는 금융감독원 사칭 파밍 수법

더욱  교묘해지고 있는 금융감독원 사칭 파밍 수법


2015년 03월 21일 배우 이모씨는 자신의 공식 트위터를 통해 자신이 전자금융사기 피해를 당했다고 밝혔습니다. 


공개된 트윗 내용에는 보이스 피싱을 당했다고 표현되어 있습니다. 여기서 우리는 [인터넷을 하다가 “금융감독원 개인정보유출 2차 피해예방등록 안내”라는 창이 자꾸 떠서 클릭을 했다가 속임수에 넘어가고 말았습니다.]라고 언급된 부분을 살펴보아야 합니다.


트위터에 공개된 전자금융사기 피해 내용


배우 이모씨가 트위터의 남긴 내용을 자세히 살펴보면, 보이스 피싱이 아닌 파밍(Pharming)인 것을 알 수 있습니다. 또한, 공격자는 포털 사이트 플로팅(Floating) 배너기법의 파밍수법을 사용하고 있습니다


플로팅 배너기법의 파밍이란?


사용자를 파밍용 금융사이트로 접속하도록 유도한 후, 공인인증서(NPKI) 파일 등의 정보 탈취를 시도하는 수법입니다. PC가 이미 악성파일에 감염된 상태에서 특정 포털 사이트에 접속하면, 공격자는 허위 금융감독원(금감원) 안내 메시지를 띄웁니다. 사용자가 조작된 허위 금융사이트에 속아 자신의 금융정보를 입력하면, 공격자는 사용자가 입력한 금융정보를 가지고 인터넷 뱅킹을 통해 사용자의 예금을 무단으로 인출할 수 있습니다.



금융감독권 사칭 파밍수법 분석


1. 유포과정 

공격자는 먼저 다수의 웹 사이트를 해킹해 보안이 취약한 이용자가 접속하면 악성파일이 자동으로 감염되도록 조작합니다. 악성파일에 감염된 사용자가 특정 포털 사이트로 접속하면, 정교하게 조작된 파밍사이트로 연결합니다. 이후 금감원을 사칭한 안내화면을 띄워 사용자의 클릭을 유도합니다.

 



2. 사례분석

공격자들은 다양한 디자인의 금감원을 사칭한 안내화면을 사용하여 지속적으로 인터넷뱅킹 이용자들을 현혹시키고 있습니다. '금융감독원 사칭 팝업화면 사례 #01' 의 경우는 이번 주 부터 발견된 새로운 디자인의 팝업창입니다. 
      
다음의 안내화면을 기억하여 금융사기를 예방해야 합니다.

금융감독원 사칭 팝업화면 #01(가장 최근에 발견된 팝업화면)


금융감독원 사칭 팝업화면 #02


금융감독원 사칭 팝업화면 #03


금융감독원 사칭 팝업화면 #04


금융감독원 사칭 팝업화면 #05


금융감독원 사칭 팝업화면 #06


금융감독원 사칭 팝업화면 #07

이러한 화면이 나오는 경우 악성파일에 감염된 것이 확실하므로 알약과 같은 백신프로그램을 이용하여 악성파일을 제거해야 합니다. 금융감독원을 사칭한 팝업 창을 클릭하여 파밍사이트에 접속한 경우에도 절대로 자신의 금융정보를 입력해서는 안됩니다. 특히, 물리적 보안장치인 보안카드의 번호를 여러 차례 입력하도록 요구하는 경우는 100% 전자금융사기라는 점을 명심해야 합니다. 
   
일부 사용자 중 보안카드의 화면을 찍어 컴퓨터나 이메일 등에 별도로 보관하는 경우가 있습니다. 이렇게 보안카드를 이미지 파일로 보관하는 것은 매우 위험하다는 사실도 절대 잊지 말아야 합니다.


금융감독원 사칭 파밍수법 정리 및 결론

불특정 다수의 국내 웹 사이트들에서는 매일 새로운 악성파일들이 무차별적으로 유포되고 있습니다. 이러한 악성파일들은 대체로 보안 취약점을 통해 자동으로 감염됩니다. 따라서 Windows OS와 IE, Java, Flash Player 제품 등은 항시 최신 버전으로 업데이트하여 취약점에 노출되지 않도록 예방하는 보안습관이 필요합니다.

해당 악성파일은 알약에서 Spyware.PWS.KRBanker 또는 Trojan.Generic.AD 로 탐지하고 있습니다.
      
※ 파밍 공격으로부터 내 PC를 안전하게 지키는 습관, 알약 다운로드! ▶ 클릭

저작자 표시
신고
Posted by 알약(Alyac)

댓글을 달아 주세요

  1. 최유지 2015.03.27 15:49 신고  댓글주소  수정/삭제  댓글쓰기

    아니 이건 이해인이 사기당한 그 내용이군요! 보이스피싱이라고 뉴스봤는데 파밍이었나보네요. 아주 쉽게 이해할 수 있었습니다. 저도 저 화면 조심할께요 ^_^

    • BlogIcon 알약(Alyac) 2015.03.30 13:46 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 해당 포스팅에서 안내해드린 팝업창에 주의하시어 파밍 피해를 예방해주시길 바랍니다. ^^ 감사합니다.

  2. 이재훈 2015.03.27 16:55 신고  댓글주소  수정/삭제  댓글쓰기

    정말 도움이 될 것 같은 내용이라 꼼꼼하게 잘 읽었습니다. 앞으로도 이런 좋은 정보 많이 부탁합니다. ♥

    • BlogIcon 알약(Alyac) 2015.03.30 13:47 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 앞으로도 더욱 유익한 정보를 제공해드리기 위해 노력하겠습니다.♥ 알약 블로그에 많은 관심 부탁드립니다.^^

  3. BlogIcon 바이러스제로 2015.03.27 21:25 신고  댓글주소  수정/삭제  댓글쓰기

    금감원은 보고 있을려낭?????? >_<

    • BlogIcon 알약짱 2015.03.27 21:32 신고  댓글주소  수정/삭제

      연예인도 당하고 실검에도 뜨는데 알고는 있겠죠!! 문제는 노답일껄요 ;;;;

    • BlogIcon 알약(Alyac) 2015.03.30 13:56 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 공격자가 금감원을 사칭하고 있기 때문에 더욱 속아 넘어가기 쉽습니다 ㅠㅠ 알약에서 안내해드린 팝업창 사례들을 꼼꼼히 살펴보시고 파밍피해를 예방하는 자세가 가장 중요합니다.

  4. BlogIcon 나그닥 2015.03.30 13:34 신고  댓글주소  수정/삭제  댓글쓰기

    금융감독원 가짜 화면에 속을만 하네요 ;;;;;;;;;;;;;;;; 좋은 정보 감사합니다.

    • BlogIcon 알약(Alyac) 2015.03.30 13:48 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 파밍수법은 더욱 교묘하고 정교하게 발전하고 있어 깜빡 속아 넘어가기 쉽습니다 ㅠㅠ 알약에서 안내해드린 팝업창을 항상 조심하시어 파밍 피해를 예방해주시길 바랍니다.

  5. BlogIcon 보균자 2015.03.31 06:52 신고  댓글주소  수정/삭제  댓글쓰기

    네이버에서 계속 금융감독원 화면이 나와서 뭔가 했는데 악성코드에 감염되어 있었네요. 도움주셔서 감사합니다.

    • BlogIcon 알약(Alyac) 2015.03.31 10:10 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 알약 블로그를 보시고 도움이 되셨다니 다행입니다.^^ 위에서 소개해드린 팝업창들을 확인해주시고 파밍 피해를 예방해주시길 바랍니다. 감사합니다.

  6. 나그네 2015.04.15 10:15 신고  댓글주소  수정/삭제  댓글쓰기

    저도 저거 걸려서 사이트에서 들어갔는데 진짜랑 똑같이 만들어놨더라구요.
    근데 그냥 로그인만 안하면 문제 없는 건가요? 단순히 저 사이트에 들어갔다고 인증서 빼가고
    그런건 아닌가요?

    • BlogIcon 알약(Alyac) 2015.04.16 11:31 신고  댓글주소  수정/삭제

      정말 똑같아서 알약맨도 깜빡 속을뻔했답니다. ㅠㅠ 악성파일에 의해 감염된 경우와 공유기가 해킹을 통해 DNS가 변조된 경우 모두 가짜 팝업창이 뜰 수 있습니다. 따라서, 사용하시는 유무선 공유기를 초기화하시고, 펌웨어를 업그레이드하셔야 합니다. 또한, 알약을 최신 DB로 업데이트하신 후 검사를 진행해주세요. 문의 주신 공인인증서의 경우, 패스워드가 유출되었을 가능성을 배제할 수 없으므로 재발급받으시거나 비밀번호를 변경해주시길 부탁드립니다.

  7. 김기현 2015.05.12 01:02 신고  댓글주소  수정/삭제  댓글쓰기

    알약 업데이트 후 정밀검사를 하는데도 치료가 안되네요. v3도 마찬가지이구요

    • BlogIcon 알약(Alyac) 2015.05.14 17:37 신고  댓글주소  수정/삭제

      안녕하세요. 알약입니다. 죄송하지만 말씀하신 사항만으로는 정확한 문제를 파악하기 어렵습니다. 알약을 실행하여 [신고하기]를 통해 관련 내용을 신고해주시면, 담당자가 확인 후 자세한 답변을 드리도록 하겠습니다. 감사합니다.

  8. 엄청나 2015.05.16 20:42 신고  댓글주소  수정/삭제  댓글쓰기

    와... 진짜 소름돋네요. 갑자기 네이버키고 검색할라는데 계속 저 창뜨면서 검색못하게 하길래, 뭐지 짜증나네하면서 들어가서 쓸번했네요. 쓸려하다가 네이버사용하는데 왜 은행이 관련되지 ? 라고 뭔가 의아해서 검색한번해보니 이 글 발견..... 와 소름돋네 ㄷㄷㄷㄷㄷㄷㄷㄷ 알약돌려보니까 감염되있네요. 검사한지 2틀인데, 뭐 다운받은것도 없는데...

    • BlogIcon 알약(Alyac) 2015.05.18 10:02 신고  댓글주소  수정/삭제

      알약 블로그를 보시고 도움이 되셨다니 다행입니다. 해당 수법은 더욱 교묘하고 정교하게 발전되고 있어 사용자들이 깜빡 속아넘어가기 쉽습니다 . ㅠㅠ 따라서 알약을 최신 DB로 업데이트하신 후 주기적으로 검사를 진행해주세요.

  9. 나나미 2015.07.02 04:10 신고  댓글주소  수정/삭제  댓글쓰기

    저기 궁금한게 제가 최근에 파밍악성코드에 감염됬었거든요

    그래서 일단 치료는 했는데 이게 무슨 해킹 처럼 이상한 파일을 받은적은 없는데

    알아보니깐 특정사이트 접속 만으로도 감염된다고 하던데 정말 그런가요??

    윈도우 XP사용자라 요즘 인터넷하기 겁나네요

    • BlogIcon 알약(Alyac) 2015.07.02 17:57 신고  댓글주소  수정/삭제

      공유기 해킹으로 DNS가 변조된 경우 인터넷 포털사이트 및 특정사이트 접속만으로도 악성파일을 다운로드 받을 위험이 있습니다. PC인 경우에는 자주 사용하는 OS나 소프트웨어의 취약점을 통해 사이트접속만으로도 감염될 수 있습니다. 그러나 스마트폰의 경우 악성앱이 다운로드되더라도 실행하지 않는다면 아직까지 감염될 위험은 없습니다. 따라서 주기적으로 백신을 최신 DB로 업데이트해주신 후 검사를 진행해주시길 부탁드립니다. 또한, 파밍 악성코드의 경우, 공유기 해킹을 통해 발생하므로 공유기를 초기화해주시고 펌웨어를 업데이트해주시는 것을 권장해드리고 있습니다. ^^

  10. 2015.07.03 21:35  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

티스토리 방명록 작성