이 시대에 속기 쉬운 컴퓨터 사용자는 점점 더 드물어지고 있습니다. 인터넷에 맬웨어 교육이 만연한 상황에서 사람들은 수백만 달러를 받았다고 주장하는 사기 이메일에 쉽게 속지 않습니다.
그렇다고 해커가 덜 결정적이라는 의미는 아닙니다. 그것은 그들이 더 똑똑하게 일해야 한다는 것을 의미합니다. 회사 인프라를 염탐하고 상사 주소에서 직원에게 이메일을 보내는 것부터 사용자의 Facebook 계정을 납치하고 친구에게 메시지를 보내는 것까지 신뢰 남용이 요즘 해킹의 선택 방법입니다.
그들이 소매를 잡고 있는 한 가지 방법은 합법적인 URL에서 가짜 사이트에 정보를 입력할 때 로그인 세부정보를 얻을 수 있는 가짜 복사본으로 컴퓨터를 리디렉션하는 것입니다. 이것을 "파밍(pharming)"이라고 하며 그 방법 면에서 상당히 무서울 수 있습니다. 파밍이 무엇이며 어떻게 작동하는지 설명하겠습니다.
파밍이란 무엇입니까?
파밍은 그 자체로 두 가지 공격 벡터를 결합하는 2단계 프로세스입니다. DNS 중독 및 피싱. 두 가지의 장점을 모두 활용하여 사람들이 빠져들 수 있는 믿을 수 있는 함정을 만듭니다. 피싱은 미끼를 떨어뜨리고 사람들이 미끼를 잡기를 바라는 방식으로 작동하지만 파밍은 전체 DNS 서버를 장악하고 사람들을 가짜 웹사이트로 리디렉션할 수 있습니다.
따라서 '파밍이 무엇인가요?'라는 질문에 답하기 위해 먼저 구축된 두 구성 요소를 분석하고 전체 파밍 공격을 형성하기 위해 서로 상호 작용하는 방식을 확인해야 합니다.
DNS 중독
이름만으로도 이 공격 벡터가 얼마나 사악한지 알 수 있습니다! DNS 중독은 DNS 조회를 하이재킹하여 작동합니다. 웹 주소(예:www.facebook.com)를 입력하면 컴퓨터에서 해당 주소를 IP 주소로 변환해야 합니다. 컴퓨터는 "페이스북"이 무엇인지 이해하지 못하기 때문입니다! URL은 인간이 웹사이트 주소를 더 쉽게 기억할 수 있도록 하기 위해 존재합니다. 그러나 컴퓨터는 IP 주소가 무엇인지 알고 있습니다. 따라서 Facebook과 대화하기 위해 컴퓨터는 URL을 IP 주소로 변환합니다.
URL 및 IP 주소에 대한 주소록과 같은 역할을 하는 DNS 서버를 쿼리하여 이를 수행합니다. 그들은 DNS 서버를 사용하여 URL의 IP 주소(www.facebook.com -> 157.240.1.35)를 찾은 다음 이를 사용하여 Facebook 서버와 통신합니다. 컴퓨터가 URL의 IP 주소를 발견하면 캐시에 주소를 기록해 둘 수 있습니다. 이는 동일한 IP 주소를 반복해서 찾는 데 시간을 낭비하지 않도록 하기 위한 것입니다. 이 예에서 www.facebook.com은 캐시에서 157.240.1.35로 이동합니다.
DNS 포이즈닝은 두 가지 방식으로 작동합니다. 하나는 개별 PC의 캐시에 들어가 IP 주소를 변경하여 악성 웹사이트로 연결하거나 DNS 서버 자체를 감염시켜 조회를 수행하는 PC가 "감염된" 결과를 얻도록 하는 것입니다. 두 경우 모두 사용자가 다음에 'www.facebook.com'을 브라우저에 입력하면 '중독된' 가짜 IP 주소가 대신 로드됩니다.
피싱
DNS 포이즈닝은 사용자가 주소를 올바르게 입력했음에도 불구하고 공격자가 사용자를 합법적인 사이트에서 악의적인 사이트로 안내할 수 있도록 합니다. 그러나 이것은 1단계일 뿐입니다. 결국, 단순히 사용자를 다른 웹사이트로 안내하는 것만으로는 별 효과가 없습니다! 해커는 중독과 함께 간단한 리디렉션을 이득으로 전환하기 위해 피싱을 사용할 수 있습니다.
이 예에서 공격자는 Facebook에서 공격자가 선택한 웹사이트로 사용자를 리디렉션합니다. 공격자가 선택할 수 있는 옵션은 많지만 파밍 공격에서 공격자는 이전에 Facebook과 동일하게 보이도록 설정한 웹사이트를 선택합니다. 사용자가 브라우저에 www.facebook.com을 입력하면 DNS 중독으로 인해 해커의 가짜 Facebook으로 리디렉션됩니다.
이제 사용자가 가짜 사이트에 있으므로 Facebook 로그인 자격 증명을 입력하라는 메시지가 표시됩니다. 실제 페이스북 사이트에 있다고 믿고 사용자는 로그인 정보를 입력하고 해커에게 정보를 전송하여 파밍 공격을 완료합니다.
할 수 있는 일
먼저, DNS 서버는 일반적으로 귀하가 사용하는 ISP가 소유한다는 것을 아는 것이 유용합니다. 따라서 DNS 서버에 대한 파밍 공격을 방지하려면 신뢰할 수 있는 ISP를 선택해야 합니다. 좋은 ISP는 파밍에 대해 알고 서버가 중독되지 않도록 보호하는 대책을 마련할 것입니다.
그러나 자신의 컴퓨터 파일을 감염시키는 데 있어 파밍의 약점은 무엇입니까? 첫째, 항상 좋은 바이러스 백신 또는 맬웨어 방지 솔루션이 설치되어 있는지 확인하십시오. 이들은 컴퓨터의 주소 캐시 파일에 대한 편집을 감지하고 손상이 발생하기 전에 경고할 수 있기를 바랍니다.
그러나 바이러스 백신이 없어도 기지를 사용하면 파밍 공격을 막을 수 있습니다. 소셜 미디어나 뱅킹 사이트와 같이 유명하거나 안전한 웹사이트에 액세스하면 주소 표시줄에 자물쇠가 표시되고 URL 시작 부분에 "HTTPS"가 표시됩니다. 이는 웹사이트가 권한 있는 제3자에 의해 주장되는 내용임을 확인했음을 의미합니다. 따라서 인증서가 수여되고 통신이 암호화되었습니다.
물론, 파밍 공격으로 스푸핑 사이트로 리디렉션된 경우 해당 사이트에는 해당 사이트를 정품으로 식별하는 인증서가 없어야 합니다. URL이 실물과 같아도 누락된 인증서의 모습은 그야말로 경품입니다. 인기 사이트에 로그인할 때 HTTPS 인증서가 있는지 확인하십시오. 인증서가 갑자기 "누락된" 것을 발견했다면 문제가 발생한 것일 수 있습니다!
속이는 파밍
복잡한 공격 벡터를 생성하는 여러 단계로 인해 파밍은 약간 무서울 수 있습니다. 이제 파밍이 무엇이며 어떻게 작동하는지 자세히 알게 되었습니다. 더욱이, 당신이 예리하고 안전한 ISP를 사용한다면 파밍의 희생자가 될까봐 걱정할 필요가 없을 수도 있습니다.
당신이나 당신이 아는 누군가가 사실적으로 보이는 웹사이트에 속은 적이 있습니까? 아래에서 알려주십시오.