서기 931 년 사전 "학명 엑기스"는 " 여우 "는 변화의 방법을 사용 사람을 속이는 짐승이다라고 기록되어 있습니다. 그것은 "狐妖"(고용, huyao 후야오)라고 두려워했습니다. 현대 사이버 공간에서 후야오처럼, 변화의 방법을 사용 하나의 사이트에서 다수의 EC 사이트에変幻가능한 피싱 사이트가 확인되고 있습니다.
우리는 이것을 "Operation Huyao (후야오 작전)"라고합니다.
사이버 범죄자는 일본 국내의 온라인 쇼핑몰에 출점하고있는 점포로 가장하여 온라인 결제에 관한 중요한 정보를 사취하려고 획책하고 있습니다.
■ 온라인 쇼핑몰의 구조
온라인 쇼핑몰은 각 점포에 해당하는 EC 사이트의 집합체입니다. 있는 온라인 쇼핑몰에서는 다음과 같이 도메인 아래에 각 점포의 경로 (Path)를 준비하여 일관성있는 가상의 상가를 형성하고 있습니다.
 |
Operation Huyao에서는이 URL의 규칙 성을 이용하고 yaoya] / [sakanaya] / [nikuya]에 해당 온라인 쇼핑몰의 전 점포로 가장 할 수 있도록하고 있습니다.
■ 기존의 피싱 사이트 구축 수법
여기에서 Operation Huyao의 특이성을 이해하기 위해서는 일반적인 피싱 사이트의 구축 수법에 대해 설명합니다.
기존의 피싱 사이트에서는 원래 사이트에서 HTML이나 이미지 등의 콘텐츠를 복사 마치 진짜 같은 가짜 사이트를 만들어냅니다. 범죄자는 스스로 등록한 도메인이나 무고한 사이트를 변조하고 그 하위 도메인 또는 하위 디렉토리에 준비한 콘텐츠를 설치하고 피싱 사이트를 구축합니다. 이 기존의 방법은 각 점포마다 콘텐츠를 복사하여 별도의 피싱 사이트를 시작하는 것이 일반적입니다.
 |
※ 범죄자는 [yaoya] / [sakanaya] / [nikuya] 매장마다 내용을 복사하고 URL을 제공하고 있습니다. |
■ Operation Huyao 새로운 피싱 사이트 구축 수법
기존의 피싱 사이트와 달리 Operation Huyao에서는 범죄자의 준비 사이트에는 "방송 프로그램 '이 설치됩니다. 설치된 중계 프로그램은 액세스마다 정품 온라인 쇼핑몰의 점포에서 컨텐츠를 검색합니다. 따라서 범죄자는 점포마다 피싱 사이트의 컨텐츠를 준비 할 필요가 없습니다. 즉, Operation Huyao는 하나의 중계 프로그램에서 온라인 쇼핑몰에 참여하는 모든 점포로 가장 할 수 있습니다. 이것이 Operation Huyao을 변환 자재 피싱 사이트라고 부르는 이유입니다.
 |
※ 상기 URL에서 [yaoya] 문자열 [sakanaya 또는 nikuya로 변경하는 것만으로 각 점포로 가장 할 수 있습니다. 범죄자는 점포마다 콘텐츠를 복사 할 필요가 없습니다. 범죄자가 준비해야 할 URL은 하나뿐입니다 |
범죄자 준비한 중계 프로그램은 URL의 끝에 특징적인 문자열이 패턴으로 나타나고 있습니다. 그것이 "tslyphper"입니다. 이 방송 프로그램은 매개 변수로 스푸핑 대상 URL을 포함하고 있습니다. 매개 변수 부분을 잘라, BASE64 디코딩함으로써 스푸핑 대상의 온라인 쇼핑몰을 확인할 수 있습니다.
 |
| 기존 피싱 | Operation Huyao | |
| 대상으로하는 서비스의 수만큼 URL을 제공하는 | 범죄자가 제공하는 URL의 수 | 하나의 URL을 준비하면 표적 쇼핑몰 모든 점포로 위장 가능 |
| 각 점포에서 복사 한 내용 | 스푸핑 사이트에 설치되어있는 파일 | 중계 프로그램 |
| 범죄자가 원래 사이트에서 복사 한 시점 ※ 스푸핑 사이트의 상태가 원래 사이트에 비해 오래 남아 것이있다 ※ 범죄자에게 불리한 정보가 깎여있는 것이있다 | 스푸핑 사이트의 외형 | 항상 원래 사이트와 동일한 상태 ※ 스푸핑 사이트 측에 원본 사이트의 컨텐츠를 보유하고 있지 않고 액세스 할 때마다 획득 |
| 공격 방법의 비교 |
■ 결제 정보 사취까지의 시나리오
피해자는 어떻게하고 Operation Huyao 의해 준비된 피싱 사이트에 액세스 해 버리는 것입니까? 현재까지이 위협 관련 스팸 메일은 확인되지 않습니다. 따라서 피해자는 인터넷 검색 엔진을 통해 중계 프로그램이 설치된 사이트에 방문하는 것으로 간주합니다.
실제로 몇 가지 상품명으로 검색을 수행 할 때 문자열 "tslyphper"를 포함 스푸핑 사이트가 표시되는 것을 확인합니다. 여기에서는 [알람 시계] [시계]와 함께 [구체적인 상품명 등의 단어를 곱하여 검색 한 사례를 보여줍니다. 이러한 검색 결과의 일부는 이미 Operation Huyao 의해 오염되어 있다고 생각한다.
 |
여기에서 실제로 상품을試買하여 봅시다. Operation Huyao 사례에서는 상품 구매 페이지까지 원본 사이트를 단순한 중계하는 것이고, 각종 텍스트와 이미지는 원본 사이트와 완벽하게 동기화하고 있습니다.그러나 [장바구니에 담기] 버튼 만 범죄자의 손에 의해 만들어진 있습니다.
원래 사이트에서 [장바구니에 담기] 버튼을 클릭하면 HTTPS 통신을 이용한 [주문자 정보 입력 페이지로 전환하는 반면 Operation Huyao 사례에서는 HTTP 통신의 페이지로 전환합니다.
이 때, 어떤 사이트에서 무려 말한다 [상품명]의 [단가]는 얼마 결제인지하는 정보가 URL 매개 변수로 전송됩니다.
[주문자 정보 입력] 페이지에서 [이름] / [주소] / [전화 번호] / [이메일 주소] 이외에, 암호를 입력해야합니다. 그러나 무엇 암호를 요구하는지 설명하지 않습니다.
 |
※ [site =, p =, nm =]의 3 가지를 URL 매개 변수로 전송하고있다. nm 매개 변수는 화면 정형을위한 HTML 태그를 포함한다. |
 |
다음 화면에서 결제 방법을 선택 할 수 있습니다. 이 때 역시 HTTP 통신의 페이지입니다. 또한 바닥 글에 언급 된 회사 이름은 주문자 정보 입력 화면과 달리 정규 온라인 쇼핑몰 회사의 이름이 기재되어있었습니다. 이번 샘플로 확인 된 사례는 [신용 카드 결제] / [온라인 입금] 중 하나를 선택할 수 있습니다. 그러나 중을 선택한 경우에도 동일한 화면으로 이동합니다.
[지불 방법] 페이지에서는 카드 회사] / [카드 번호] / [만료] / [명의인] / [보안 코드를 입력해야합니다.
 |
다음 화면에서 신용 카드 인증 서비스에 필요한 본인 인증 용의 ID 및 '암호'를 요구합니다. [입금]을 선택한 경우에도이 페이지가 표시됩니다.
이 페이지는 엉터리 [ID] / 암호도 받아들입니다. 따라서 실제로 인증을 실시하고있는 것은 아닙니다.
 |
마지막으로 주문 감사합니다. 화면이 나타나며 [주문자 정보 입력 페이지에서 입력 한 이메일 주소로 "제목 : <생략> .com 주문 감사합니다"라는 메일이 도착 해 있는지 확인했습니다.
 |
여기까지의 흐름에 대해 확인해야합니다. Operation Huyao에서 사용되는 중계 프로그램은 하나의 URL을 준비하는 것만으로 대상으로 온라인 쇼핑몰에서 모든 EC 사이트로 가장 할 수 있습니다. 따라서 여러 URL을 마련한 경우의 확산 효과는 헤아릴 수 없습니다. 범죄자들은 지금까지의 피싱 사이트처럼 개별 EC 사이트에서 콘텐츠를 복사하여 준비 할 필요는 없습니다.
 |
■ 현재 피해 상황
중계 프로그램에 의해 출현하는 URL 끝에 특징적인 문자열 "tslyphper"에 주목하고 피해 상황의 추정을 시도합니다.
트렌드 마이크로의 클라우드 형 보안 기초 "Trend Micro Smart Protection Network (SPN)"의 통계 데이터에 의하면,이 공통의 캐릭터 라인을 가지는 스푸핑 사이트에 9 월 1 일에서 1 일 동안 2,156 건이 넘는 액세스 확인 있습니다. 이 방문수는 지금까지 스푸핑 사이트에서 확인되는 액세스 수를 크게 넘는 것이며, 많은 인터넷 이용자가 유도되는 것으로 추측됩니다.
 |
특히 8 월말을 향해 조회수의 증가를 확인할 수 |
■ 중계 프로그램이 설치된 사이트 분석
트렌드 마이크로는 2014 년 8 월 29 일 ~ 9 월 4 일의 조사에 의해 중계 프로그램이 설치된 웹 사이트를 "713 건"확인하고 있습니다. 이 웹 사이트의 IP 주소를 역방향, 위치 정보 데이터베이스에서 참조했습니다. 그 결과, 어느 나라에 중계 프로그램이 많이 설치되어 있었는지 밝혀지고 있습니다. 가장 설치되어 있던 나라가 미국. 이어 홍콩, 프랑스 등에 위치한 서버에 중계 프로그램이 설치되어있었습니다.
 |
수집 한 웹 사이트의 주소는 하나의 도메인에 여러 호스트를 설치하는 경우가있었습니다. 그래서 1 개의 도메인에서 여러 웹 사이트를 설치하고있는 경우를 제외 한 결과, 266 개의 도메인으로 통합되었습니다.이 도메인의 Whois 데이터베이스 정보를 확인하고 있습니다. 도메인 관리자로 등록 된 이메일 주소로 주목했습니다. 그 결과 다음의 메일 서비스를 사용하고있었습니다. 관리자로 등록 된 메일 주소의 대부분은 무료로 사용할 수있는 이메일 주소이었습니다.
| 메일 서비스 이름 | 건수 |
| hotmail.com | 43 |
| qq.com | 29 |
| gmail.com | 22 |
| 163.com | 8 |
| yahoo.com | 7 |
| sina.com | 4 |
| outlook.com | 2 |
| 기타 | 151 |
| 그림 9 : "Operation Huyao"중계 프로그램이 설치되어 도메인 관리자로 많은 무료 메일 서비스의 주소가 등록되어 있었다 |
 |
■ 이용자는 평소의 마음가짐이 중요
이러한 상황을 받아 트렌드 마이크로에서는 EC 사이트와 법 집행 기관과의 제휴를 실시하고 있습니다.또한 Operation Huyao과의 관련성이 분명 해졌다 사이트에 대해 표적이 온라인 쇼핑몰 운영자와 함께 연계하여 지원을 강화하고 있습니다.
그러나 범죄자들은 계속해서 새로운 사기 사이트를 설치하고 있습니다.
이용자가 안전하게 온라인 쇼핑을 즐기기 위하여 중요한 것은 평소의 "유의"입니다.
안전한 온라인 쇼핑을 이용하기 때문에 사기의 최신 수법을 알고 속지 않도록해야합니다.
사이버 공간에서 개인 정보 및 결제 등에 관한 정보 등 중요한 정보를 입력 할 때 마지막에 다시 멈춰 서서 생각 습관을 지녀야합니다.
위험한 점을 이해하고 충분한주의를 기울여 온라인 쇼핑은 안심하고 사용할 수 있습니다.
■ 트렌드 마이크로의 대책
트렌드 마이크로는 디지털 정보가 오가는 세계의 안전을 지킨다는 임무의 일환으로 계속 "Operation Huyao"라는 사기 행위에 대해 조사하고 있습니다.
Trend Micro 제품을 사용할 사용자가 당사의 클라우드 형 보안 기초 " Trend Micro Smart Protection Network "에 의해 지켜지고 있습니다. 특히 " Web 평판 "기술은이 위협에 대한 잘못된 Web 사이트에 대한 액세스를 차단합니다.
'Security_News > 해외보안소식' 카테고리의 다른 글
| OpenSSL 프로젝트, 취약점 관리 정책 발표 (0) | 2014.09.10 |
|---|---|
| iCloud에서 정보 유출 보도에 대해 우리가 배워야 할 (0) | 2014.09.09 |
| 암호화 소프트웨어 PGP 필요한 개선점은 (0) | 2014.09.09 |
| 네트워크를 보호하기 위해 네트워크 보안에서 IT 관리자가 배울 수 (0) | 2014.09.09 |
| Apple ID 탈취를 목적으로 한 '피싱 사이트 구축 키트 "확인 (0) | 2014.09.09 |