악성 파일 정보

[주의]금융자산예방서비스 사칭! 믿는도끼에 발등 찍힌다.

1. 전자금융사기 방심은 절대금물


사자성어 중에 지부작족(知斧斫足)이라는 말이 있다. "믿는 도끼에 발등을 찍힌다"는 뜻으로, 믿었던 것에 배신을 당한다는 것을 비유적으로 표현한 말이다. 2012년부터 수개월간 실제 인터넷 뱅킹 사이트처럼 정교하게 조작된 피싱사이트로 연결시키는 전자금융사기용 악성파일(KRBanker)들이 여전히 기승을 부리고 있는 가운데 보안업체 및 금융권에서는 전자금융사기에 대한 주의 환기를 지속적으로 안내하고 있다. 평소처럼 자신이 믿고 접속했던 인터넷 뱅킹 사이트가 사이버 범죄자들이 만든 피싱 사이트로 교체되고, 신뢰한 후 스스로 입력했던 금융정보가 모두 외부로 무단 유출되었다면 그 만큼 아찔한 순간은 없을 것이다. 최근 전자금융사기 범죄자들은 이러한 분위기를 역이용해서 마치 금융보안 서비스처럼 교묘하게 모방하고 사칭한 사기수법을 총 동원하고 있다.



이번에 새롭게 발견된 방법은 금융 보안위협이 증가하자 마치 금융권에서 제공하는 공식적인 보안서비스처럼 위장하고 있다. 그중 최근 발견된 특징적 수법으로 "금융자산예방서비스"라는 조작된 메시지창을 출력하고 사용자들을 현혹시켜 금융정보를 피싱사이트에 입력하도록 유인하고 있다. 

[주의]무료 동영상에 숨겨진 검은 그림자, 당신의 예금을 노린다.
http://erteam.nprotect.com/371

[위험]전자금융사기용 악성파일(KRBanker) 시스템 파괴 기능 탑재
http://erteam.nprotect.com/370

[긴급]KRBanker 새로운 변종 애플 아이콘으로 위장!
http://erteam.nprotect.com/366

[주의]KRBanker 변종 시티은행 피싱 목록 추가!
http://erteam.nprotect.com/365

[긴급]KRBanker 전자금융사기용 허위 예방 서비스로 사용자 유혹
http://erteam.nprotect.com/347

[정보]보안승급 사칭 전자금융사기 기승, 사이버 금융범죄와의 전쟁
http://erteam.nprotect.com/344

[칼럼]국내 인터넷 뱅킹 보안위협 절대 남의 일이 아니다!
http://erteam.nprotect.com/341

[주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥
http://erteam.nprotect.com/340

[주의]인터넷 뱅킹 보안강화(승급) 서비스는 전자금융사기의 덫
http://erteam.nprotect.com/339

2. 보안카드 암호 전체 입력을 요구할 경우 100% 사기

이번에 발견된 악성파일은 국내 유머관련 특정 웹 사이트가 해킹되어 보안취약점을 이용했고, 접속하는 불특정 다수의 사용자에게 악성파일(KRBanker)을 무차별적으로 감염시켰다. 악성파일은 마치 안랩 V3 제품의 아이콘처럼 위장하고 있으며, 파일의 등록 정보(속성)에는 이스트소프트사의 알툴즈 업데이터 프로그램처럼 위장하고 있다.

또한, 프로그램은 중국어로 개발된 것을 확인할 수 있다.


악성파일이 작동되면 이용자의 호스트파일(hosts)을 변조시켜, 정상적인 금융권 웹 사이트에 접속하더라도 피싱 IP 주소로 연결되도록 만든다.


악성파일에 감염되었을 때 보여지는 피싱사이트 화면은 전국은행연합회 사이트에서 팝업으로 공지(http://www.kfb.or.kr/popup/120903.htm)하고 있는 전자금융사기 예방서비스 화면을 교묘히 악용하고 있다. 사이버 범죄자들은 실제 서비스 중인 다양한 전자금융사기 예방서비스용 안내 화면을 정교하게 모방하고 조작해서 이용자들을 현혹시키고 있다.

악성파일에 감염된 상태에서 국내 인터넷 뱅킹 웹 사이트에 접속하면 사용자 몰래 금융 피싱사이트로 변경되고, 아래와 같이 전자금융사기 예방시스템 신청으로 사칭한 팝업창이 나타나게 된다.


조작된 이 팝업 화면을 이용한 악성파일(KRBanker)은 시티은행, 기업은행, 하나은행, 국민은행, 외환은행, 농협, 신한은행, 우리은행 등의 피싱사이트에 각각 이용되었다.


악성파일(KRBanker) 변종에 감염된 상태에서 각 금융권 사이트는 접속시 피싱사이트로 바꿔치기 되며, 팝업 공지문으로 사칭한 내용들이 보여지게 된다.


또한, 아래와 같이 별도의 메시지 창을 띄어 금융자산예방서비스를 실행 후 사용하라는 안내화면을 보여준다.

피싱및 해킹(전화금융사기)인한 금융사기가 지속적으로 발생하고 있습니다.
11월 18일부터 모든 은행권에서 전자금융사기 예방서비스를 시행합니다.
금융자산예방서비스를 실행후 사용해주세요.


메인 화면의 팝업창을 통해서 금융 피싱사이트에서는 사용자의 개인 금융정보 입력을 본격적으로 유도하게 된다. 각 금융권에 따라 실제처럼 보이도록 정교하게 디자인된 화면이 보여지게 된다.

첫 화면에서는 이름, 주민번호, 휴대폰번호, 계좌번호, 계좌 비밀번호, 사용자 아이디, 이체 비밀번호 등의 과도하게 많은 금융정보를 1차로 입력하도록 현혹시킨다.


이어서 다음단계에서는 가장 중요한 보안카드의 일련번호와  전체 비밀번호를 입력하도록 유도한다. 어떠한 경우라도 정상적인 금융권에서는 보안카드의 일련번호와 모든 번호를 요구하는 경우는 절대 없으므로, 이런 유사한 정보요구를 목격하게 되면 100% 전자금융사기라는 점을 명심해야 한다.

거듭 강조하지만 국내 어떤 금융권에서도 금융보안서비스 가입을 명목으로 보안카드의 일련번호와 비밀번호 전체를 입력하도록 요구하는 경우는 절대 없다. 따라서 이용자들은 보안카드의 전체 비밀번호를 입력요구하는 화면을 보게 될 경우, 즉시 입력을 중단하고 관계 금융기관이나 잉카인터넷 대응팀(isarc@inca.co.kr)으로 신고를 하여 적절한 보안 조치를 받는 것이 필요하다.


보안카드의 모든 정보가 입력되면, 사이버 범죄자들에게 매우 중요한 금융정보가 무단유출되며, 아래와 같이 마치 정상적으로 예방서비스에 가입된 것처럼 화면을 보여준다. 이곳에는 [가입돠였습니다] 라는 오타가 포함되어 있는 특징이 있다.

 


3. 피싱 사이트 진위여부 판단 노하우


내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 육안상으로 진위여부를 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.

따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있게 된다.

2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의 은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안상으로 손쉽게 식별해 내기는 어려울 수 있다. 때문에 이러한 악성 파일로 부터 안전한 PC 사용 및 금융권 사이트 이용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의를 기울이는 것이 무엇보다 중요하다고 할 수 있겠다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/


댓글

댓글쓰기

악성 파일 정보 관련된 글

관련글 더보기