피싱

 

* 피싱

→ 개인정보 (Private data)와 낚시 (Fishing)의 합성어로 인터넷 이용자들에게 유명 회사를 사칭하는 e-메일을 보내고, 위장된 홈체이지에 접속하도록 유도하여 계좌번호, 주민등록번호, 로그인 비밀번호, 인증서 암호 등의 개인정보를 입력하도록 함으로써 얻은 이들 정보를 이용해 금융사기를 일으키는 신종 사기수법이다.

 

<공격자 측>

→  사회공학공격을 하기 위한 공격도구 모음인 setoolkit 사용 (se는 social engineering 을 의미)

 

 

<공격자 측>

→ 툴을 이용해 구글 사이트로 위장한 피싱사이트를 생성함.

 

 

<공격자 측>

→ 희생자는 공격자의 주소인 192.168.45.230으로 접속하게 된다면 구글로 위장한 피싱사이트로 이동하게 된다

→ 공격자가 희생자에게 문자나 이메일등으로 http://192.168.45.230으로 이동하는 URL을 전송해 클릭하도록 유혹한다.

 

 

<희생자 측>

→ 희생자(Window 환경) 측에서 해당 URL로 접속하면 정상적인 것처럼 보이는 구글 페이지가 나오게 된다.

 

 

<희생자 측>

→ 위장된 구글 페이지에 계정 정보를 입력하게 되면 정상적으로 로그인된 것처럼 나온다.

 

 

<공격자 측>

→ 공격자 측 화면을 보면 희생자가 피싱사이트에서 입력한 아이디와 비밀번호가 전달되어 있는 것을 볼 수 있다.