소개
이 문서에서는 고급 피싱 공격에서 동형 문자를 사용하는 방법과 Cisco ESA(Email Security Appliance)에서 메시지 및 콘텐츠 필터를 사용할 때 이를 인식하는 방법에 대해 설명합니다.
동형 지능형 피싱 공격
오늘날 지능형 피싱 공격에서는 피싱 이메일에 동종 문자가 포함되어 있을 수 있습니다. 동형 문자는 모양이 거의 동일하거나 유사한 텍스트 문자입니다. ESA에 구성된 메시지 또는 콘텐츠 필터에 의해 차단되지 않을 피싱 이메일에 포함된 URL이 있을 수 있습니다.
예를 들어, 고객은 www.pypal.com의 URL이 포함된 이메일을 차단하려고 ɑ합니다. 이를 위해 www.paypal.com이 포함된 URL을 찾는 인바운드 콘텐츠 필터가 작성됩니다. 이 콘텐츠 필터의 작업은 삭제하고 알리도록 구성됩니다.
고객이 www.pwwypal.com이 포함된 이메일의 예ɑ를 받았습니다.
구성된 컨텐트 필터는 다음을 포함합니다. www.paypal.com
DNS를 통해 실제 URL을 살펴보면 다음과 같이 다르게 확인됩니다.
$ dig www.pɑypal.com
; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A
;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400
;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com
; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8
;; QUESTION SECTION:
;www.paypal.com. IN A
;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128
;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.
;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73
;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470
첫 번째 URL은 유니코드 형식의 문자 "a"의 동형 문자를 사용합니다.
자세히 보면 페이팔의 첫 번째 "a"가 두 번째 "a"와 실제로 다른 것을 알 수 있다.
메시지 및 콘텐츠 필터를 사용하여 URL을 차단할 때 유의하십시오. ESA는 동형문자들과 표준 알파벳 문자들 사이의 차이를 구별할 수 없다. 동형문자 피싱 공격을 제대로 탐지하고 방지하는 한 가지 방법은 OF 및 URL 필터링을 구성하고 활성화하는 것입니다.
Irongeek는 동형문자를 테스트하고 테스트 악성 URL을 생성하는 방법을 제공합니다. 동형문자 공격 생성기
Irongeek: Out of Character: Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishing 공격도 포함한 동형 피싱 공격에 대한 자세한 소개