1. 페이스북 이용자를 매개체로 한 피라미드식 보안위협


잉카인터넷 대응팀은 영화 해리포터 시리즈로 잘 알려져 있는 프랑스 여배우 엠마 왓슨(Emma Watson)과 미국의 여배우인 셀레나 고메즈(Selena Gomez)의 사생활 노출비디오 동영상처럼 사칭한 악성 메시지가 페이스북을 통해서 산발적으로 전파 중인 것을 발견했다. 이 메시지는 페이스북(Facebook) 사용자들을 현혹시켜 특정 사이트의 링크주소의 클릭을 유도하게 된다. URL 주소를 클릭하는 이용자가 증가할 수록 악성 메시지 전파가 비례적으로 증가할 수 있고, 피라미드식 악성메시지가 동시다발적 형태로 확산될 수 있다. 일부 악성 메시지는 코드내부적으로 광고기능이 포함되어 있어, 구글 광고수익(Adsense) 등을 통한 금전적 이득 목적의 악의적인 전파수법으로 보이고, 어떤 것은 광고성 파일을 설치시도하는 것도 확인됐다. 공격자 의도에 따라 언제든지 새로운 악성파일을 추가할 수 있기 때문에 유사한 메시지에 쉽게 현혹되지 않도록 각별한 주의가 필요하다.

2. 엠마 왓슨과 셀레나 고메즈의 노골적인 사진, 접근금지령!

특히, 음란한 사진이나 문구는 보안위협상 더욱 더 위험할 수 있다는 점을 명심하고, 무심코 접근하지 않도록 하여야 한다. 현재 발견된 것 이외에도 언제든지 새로운 웹 사이트가 추가로 만들어질 수 있다. 페이스북 등 SNS 이용자들은 이런 공격기법을 참고하여 유사한 보안위협에 노출되지 않도록 사전예방에 만전을 기할 필요하가 있다.

또한, 음란 화면에 무심코 접근을 하게 되면 페이스북 친구들에게 스스로 음란 화면을 전파하는 전달자 역할을 수행할 수 있으므로, 절대로 페이스북의 링크를 클릭해서 승인번호를 입력하지 않아야 한다. 만약 클릭하고 승인번호를 입력한 경우 페이스북 친구들에게 신속하게 해당 사실을 알리고, 추가로 친구들이 해당 링크를 클릭하지 않도록 상황 전파를 하여 확산방지에 신속하게 대처해야 한다.

[주의]페이스북 채팅창을 이용한 악성파일 유포 시도
http://erteam.nprotect.com/246

오사마 빈 라덴 사망을 이용한 페이스북 악성파일 유포 주의
http://erteam.nprotect.com/151

페이스북(Facebook) 통한 스팸기능의 어플리케이션 유포 주의!
http://erteam.nprotect.com/100

■ (사례 1) 엠마 왓슨 음란사진으로 위장한 악성 문자메시지

먼저 악성링크는 페이스북을 통해서 다음과 같이 엠마왓슨의 노골적인 음란사진 및 문구들이 포함된 메시지가 구글 단축 URL 주소를 포함한 채 이용자들로 하여금 클릭을 유도하게 현혹시킨다. (음란부분 모자이크 처리)

link here ---> : http://goo.gl/생략

[V1DE0] Emma W4tson star of H@rry Pott3r made a S3X Tape

LINK IN THE DESCRIPTION


페이스북 이용자가 구글 단축 URL 주소를 클릭할 경우 제일먼저 구글번역 사이트로 연결되고, 다시 특정 사이트로 재변경된다.


보통 구글번역 사이트로 접속이 되면 추가 사이트로 이동이 되지 않지만, 이번 URL의 경우 내부에 스크립트를 이용해서 또 다른 사이트로 연결되도록 조작되었다.

h**p://translate.google.co.ck/translate?u=http://******.******.net/*****/show/light/?*********

 


NgL 이라는 주석으로 설정되어 있는 Location 코드를 통해서 또 다른 사이트로 이동되며, 특정인의 아이디로 접근되었다는 referrer 코드를 기록하게 된다. 이 부분 역시 접속자들의 이력 및 광고수익 조회 등을 위한 목적으로 사용되었을 것으로 보여진다.

그 다음으로 마치 페이스북에서 요청하는 성인(나이)인증 화면처럼 유사하게 만들어진 조작된 사이트로 연결하도록 만들고, 해당 사이트에도 상단에 배너광고를 포함하고 있다.


해당 사이트의 페이지 소스를 확인해 보면, 구글 광고 등록자의 ID 값이 포함되어 있는 것을 볼 수 있다. 해당 구글 애드센서 사용자가 사용하는 웹 사이트는 총 9개로 다음과 같이 확인해 볼 수 있다.

http://www.solinet.org/adsense/pub-0820544532937748/


■ (사례 2) 셀레나 고메즈 음란사진으로 위장한 악성 문자메시지

셀레나 고메즈 노출사진으로 위장한 내용도 발견되었는데, 페이스북 등을 통해서 다음과 같이 텀블러 링크로 클릭을 유도한다. (음란부분 모자이크 처리)

[Vide0s] 0MFG - I just hate Sel3na Gom3z after i watch this video [video Length 4:49]


페이스북에서 이용자가 이 링크를 클릭하게 되면 다음과 같이 유투브 동영상으로 위장된 사이트로 연결된다. 보안승인 화면처럼 조작하여 특정 코드를 입력하도록 유도한다. 그러나 이 화면은 실제로 유트부가 아니라 텀블러 도메인의 사이트로 페이스북 승인코드 화면에 가짜 이미지 파일을 교묘하게 덮어쓰기 한 방식이다.

가짜 화면 이미지 링크 http://i.imgur.com/r8Lcq.png


웹 페이지의 소스코드를 확인해 보면 유투브 이미지 파일을 배경화면으로 조작하고, 페이스북으로 연결하도록 만든 것을 볼 수 있다. 따라서 승인코드를 입력하면 페이스북의 지인들에게 또 다시 음란한 화면을 이용자 몰래 전파하게 된다.


승인코드를 입력하고 전송이 완료되면 다음과 같이 동영상을 시청하기 위해서 플래시 플레이어의 업데이트가 필요하다고 설치를 유도한다. 그러나 이것은 광고성 파일들을 설치시도하기 위한 절차 중에 하나일 뿐이다.


[Update] 버튼을 클릭하게 되면 "FLV_Media_Player.exe" 이름의 (악성)파일이 다운로드 시도된다. 파일명은 마치 동영상 플레이어처럼 위장하고 있다.


3. 마무리

이렇듯 페이스북이나 각종 소셜네트워크서비스(SNS)를 통해서 악의적인 광고나 악성파일 전파 통로로 이용되는 경우가 있으므로, 이용자들은 의심스러운 링크나 음란한 문구 등에 현혹되지 않도록 각별히 주의해야 한다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect