| 새로운 수법의 페이스북 피싱 공격이 시리아 활동가들을 목표로 삼다 New Wave of Facebook Phishing Attacks Targets Syrian Activists by EVA GALPERIN AND MORGAN MARQUIS-BOIRE |
|---|
편집자주: 2011년 제17차 유엔 인권이사회에서 프랭크 라 뤼 표현의 자유 특별보고관은 전세계적으로 사이버 공격이 늘어나는 데 대해 우려를 표했던 바 있습니다. 특히 독재국가들이 인터넷 계정이나 컴퓨터 네트워크를 해킹하는 기법을 이용하여 저항운동을 탄압하는 것에 대한 논란이 커지고 있습니다. 마침 미국 정보인권단체 EFF가 시리아 활동가들을 공격한 해킹 수법을 상세히 분석하여 발표하였기에 번역하여 소개합니다.
*번역 오류는 della 골뱅이 jinbo.net으로 알려주세요.
인터넷에서 시리아 반군 활동가들을 목표로 한 공격 작전이 점점더 심해지고 있다. 올해 초부터 시리아 반군 활동가들은 유튜브와 페이스북 계정의 인증정보를 훔치는 피싱 공격 뿐만 아니라, 감염된 컴퓨터에 스파이웨어를 은밀히 설치하는 몇몇 트로이 공격의 목표가 되어 왔다.
4월 9일부터 EFF는 최소한 다섯개의 새로운 피싱 공격을 발견했으며, 그 목표는 페이스북 계정과 비밀번호를 훔치는 것이었다. 몇몇 공격들은 또한 목표 컴퓨터에 악성 감시소프트웨어를 은밀히 설치하는 요소를 포함하고 있었다. 이런 공격들 중 하나는 시리아 반군 과도위원회 의장 부르한 가리운(Burhan Ghalioun)과 같은 주요 시리아 반군 인사의 페이스북 페이지에 남아 있는 댓글 속의 링크를 통해서 시작되었다. 가리운은 많은 해킹 시도의 목표가 되어 왔다. 지난 주, 시리아 전자군대의 요원들은 가리운과 미국 및 사우디아라비아 정부관료들 간의 협력 관계를 보여준다고 주장하는 이메일을 유출시켰다. 가리운의 이메일 계정은 시리아 반군이 시리아 대통령 바샤르 아사드와 그 부인의 것으로 알려진 이메일을 유출시킨 데 대한 보복 차원에서 목표가 되었다고 전해졌다.
가리운의 페이스북 페이지의 댓글란에 남겨진 링크는 아래 화면캡쳐에서 보여지는 사이트로 연결된다.
이 사이트는 페이스북 보안 프로그램을 제공하는 것처럼 보인다. 응용프로그램을 다운로드하면 아래 화면캡쳐와 같이 FacebookWebBrower.exe 라는 파일이 생성된다. FacebookWebBrowser.exe 는 키보드입력을 기록하고 이메일 계정, 유투브, 페이스북, 스카이프 등의 로그인 인증정보를 훔치는 악성 프로그램이다. 이번에 FacebookWebBrowser.exe 는 여섯개의 안티바이러스 프로그램에서 악성프로그램으로 인식되었다. 악성 프로그램은 아래 화면캡쳐에서 보이는 바와 같다.
가짜 페이스북 보안 프로그램은 감염된 도메인 http://www.ckku.com 서버에 올려져 있다. 인덱스 페이지는 합법적인 보석판매 웹사이트를 호스팅하는 것으로 보여지지만, 이 도메인은 아래 캡쳐화면의 인클루드(include) 목록에서 볼 수 있는 바와 같이, 악성 프로그램을 2012년 3월 18일부터 호스팅해 왔다.
감염된 웹사이트를 잘 살펴보면 문서 파일(Document.doc .exe)로 위장한 또다른 악성 프로그램의 증거가 드러난다. 피싱 사이트를 포함한 추가적인 페이스북 피싱 작전을 아래 화면캡쳐에서 볼 수 있다.
2012년 3월 18일의 피싱 페이지이다.
2012년 4월 20일의 피싱 페이지이다.
[지난 2012년 3월 29일] EFF는 무료 호스팅 사이트인 CiXX6에 올라와 있는 피싱 공격에 대해서 보고한 바 있다. 그때부터 약간씩 다른 URL을 사용하는 세 종류의 추가적인 페이스북 피싱 시도가 시리아 활동가들을 목표로 했었는데, 지금 이 도메인에 호스팅되어 있는 것으로 드러났다. 그 페이지들은 아래 세 개의 화면캡쳐에서 보여지는 바와 같다. 이 링크들은 현재 진행되고 있는 무장봉기 과정에서 시리아 정부군이 여성을 부당하게 취급하고 있다고 주장하는 아랍어 설명문을 통상 동반한다.
20120년 4월 9일의 피싱 페이지이다.
20120년 4월 11일의 피싱 페이지이다.
20120년 4월 16일의 피싱 페이지이다.
이 공격은 이용자 아이디와 비밀번호를 훔치고 공격자에게 당신 페이스북 계정의 모든 개인정보에 대한 접근을 제공할 수 있다. 또 시리아 페이스북 이용자는 자신의 친구들이 페이스북을 통해 보내오는 링크를 클릭하는데 신중할 필요가 있다. 그 계정이 감염되었을지도 모르기 때문이다.
페이스북 이용자들은 특히 친시리아혁명 포럼의 댓글란에 올라온 링크를 클릭하는 데 신중해야 하며, 이런 텍스트를 동반하였을 경우 특히 신중해야 한다. 페이스북 이용자는 페이스북 로그인 페이지와 유사한 가짜 페이지를 주의해야 한다. 항상 브라우저 상단의 URL 란이 https://www.facebook.com 이 맞는지 확인해야 한다. 의심스러우면 페이스북에 들어갈 때 수동으로 https://www.facebook.com manually 를 입력하자.
EFF는 시리아 인터넷 활동가들을 목표로 한 공격이 계속되는 것을 심각하게 우려하고 있다. 우리는 특히 시리아 반군의 고위급 인사를 목표로 하고 있다는 증거와 확대된 피싱 작전이 복수의 그룹에 의해 수행되고 있다는 정황이 드러난 것에 경각심을 감출 수 없다.
by della
2012-04-29
