드롭박스 사용자들이 SSL을 통해 전송된 피싱 페이지로 자격 증명을 넘겨주는 사기

Table Of Contents

• 드롭박스 사용자들이 SSL을 통해 전송된 피싱 페이지로 자격 증명을 넘겨주는 사기
• 작전 방식
• 안전한 프로토콜을 사용하는 웹페이지에서 제공되는 로그인 페이지

드롭박스 사용자들이 SSL을 통해 전송된 피싱 페이지로 자격 증명을 넘겨주는 사기

700,000개의 드롭박스 사용자 ID와 비밀번호가 대량 유출된 이후, 드롭박스는 서버에서 도난당한 것이 아니라고 부인하고 있으며, 사람들은 드롭박스 보안에 대해 경계하고 있습니다.

새로운 스타일의 드롭박스 자격 증명 도용 방법이 등장했습니다. 사이버 범죄자들은 파일 공유 웹사이트에 호스팅된 가짜 로그인 페이지를 만들어 드롭박스 및 웹 기반 이메일 서비스의 자격 증명을 훔치려고 합니다. 이 사기는 시만텍에 의해 발견되었습니다.

작전 방식

보통 잠재적인 피해자들은 알려진 당사자(또한 피해자였던)로부터 ‘중요한’이라는 제목의 이메일을 받습니다. 이메일에는 드롭박스를 통해서만 볼 수 있는 큰 파일이 포함되어 있다고 합니다. 피해자가 링크를 클릭하면, 그는/그녀는 드롭박스 자격 증명을 요청하는 클론 드롭박스 페이지로 안내됩니다.

이 클론 드롭박스 페이지의 문제는 https로 시작하는 안전한 웹사이트에서 제공되며, 드롭박스 로고의 정확한 복제본을 포함하고 있다는 것입니다. 이는 피해자가 실제 드롭박스 페이지에 있다고 믿게 만들어 자격 증명을 사이버 범죄자에게 넘기게 합니다. 아래 이미지는 해당 페이지의 모습으로, 심지어 매우 신중한 사용자도 속일 수 있습니다.

안전한 프로토콜을 사용하는 웹페이지에서 제공되는 로그인 페이지

“로그인” 버튼을 클릭하면, 로그인 필드에 입력된 사용자 이름과 비밀번호가 손상된 서버의 PHP 스크립트로 전달된다고 시만텍의 닉 존스턴이 블로그 게시물에서 말합니다.

사이버 범죄자들이 악의적인 클론 사이트를 호스팅하기 위해 안전한 프로토콜을 사용하는 주 전략은 대부분의 경우에 효과적입니다. 범죄자들이 접근한 기계로 데이터를 전송하는 것도 안전한 프로토콜을 사용하여 수행되므로 피해자에게 의심을 불러일으키지 않습니다. 그렇지 않으면, 가짜 페이지가 암호화된 연결을 통해 접근되기 때문에 웹 브라우저는 데이터 전달을 위해 안전하지 않은 통신 채널이 사용되고 있다고 경고하며 제3자가 가로채고 읽을 수 있다고 알립니다.

존스턴은 블로그 게시물에서 피싱 페이지의 모든 리소스가 SSL을 통해 제공되지 않는다고 덧붙입니다. 비안전 항목은 웹 브라우저의 왼쪽 상단 부분에 표시되어 주소 표시줄에 다른 자물쇠 아이콘이 나타나며 페이지의 일부가 안전하지 않다는 것을 전달합니다. 그러나 대부분의 사용자에게는 자물쇠 아이콘과 페이지 시작 부분의 https가 충분하여 그들을 더 큰 위험에 빠뜨립니다.

“가짜 로그인 페이지는 드롭박스의 사용자 콘텐츠 도메인(공유된 사진 및 기타 파일과 같은)에서 호스팅되며 SSL을 통해 제공되어 공격을 더 위험하고 설득력 있게 만듭니다.”라고 연구원이 말합니다.

이는 드롭박스 클라우드 저장 서비스가 악용된 첫 번째 사례가 아닙니다. 8월 말에는 같은 방법에 의존하는 SMS 피싱(스미싱) 캠페인이 관찰되었으며, 차이점은 범죄자들이 가짜/클론 페이스북 페이지를 전달했다는 것입니다.

그러나 최근 사이버 공간을 강타한 대규모 유출을 고려할 때, 사용자는 이러한 함정에 빠지지 않도록 주의해야 합니다.