파밍(pharming)이란? 파밍수법, 파밍의 재구성

 

요즘도 심심치 않게 피싱, 파밍, 스미싱 등 금융 피해 사례가 나오고 있습니다.

(피싱, 파밍의 정의는 이곳을 클릭)

 

그래서 파밍에도 여러가지 있겠지만 한 가지인 "파밍의 원리"를 "국민은행"을 예로 들어서 재구성 해봤습니다.

 

파밍은 아래와 같은 흐름으로 이루어져 있습니다

1) 해커가 "이용자"의 PC에 악성코드 배포

2) "이용자"가 정상적인 사이트 접속

3) "악성코드"는 "위조사이트"로 이동

4) 위조사이트에서 "금융정보" 절취

 

"악성코드"는 여러분이 사이트를 돌아다니다보면 프로그램을 설치하라는게 나옵니다.

확인을 누르게 되면 이용자는 알지 못하는 사이에 악성코드가 설치됩니다.

이 때 문제가 되는데요.

 

 

그럼 악성코드는 없지만, 파밍 같은 원리를 보겠습니다.

"다음"에서 "국민은행"을 입력하게 되면 '바로가기"가 나옵니다.

주소는 http://www.kbstar.com 이구요

 

 

국민은행 바로가기를 클릭하니 아래와 같은 화면이 나옵니다.

"파밍차단 보안프로그램 지금 설치하세요" 나오죠.

 

저는 이 화면과 똑같은 홈페이지 첫 화면만 다른 곳으로 이동시켜 보겠습니다.

 

 

인터넷을 사용할 때 www.kbstar.com 이라는 도메인을 사용합니다.

그런데 이 도메인이 어느 서버에 위치하고 있는지 알 수 없죠.

그래서 DNS라는 시스템이 존재하는데

 

PC에도 이와같은 기능을 하는게 있습니다.

바로 hosts파일입니다.

C:\Windows\System32\Drivers\etc\hosts 파일입니다.

 

 

 

이 파일을 열어보면

아래와같이 # 으로 되어있는데. 모두 주석입니다.

그래서 인터넷을 사용하면 인터넷을 제공해주는 ISP없체들(SK브로드밴드, KT, 유플러스)의 DNS로 가게 되는데

이 업체들보다 먼저 확인하는게 hosts파일입니다.

 

 

설명을 하자면

www.kbstar.com 으로 접속하게 되면 192.168.0.3 으로 가라는 뜻입니다.

www.kvstar.com 으로 접속하게 되면 192.168.0.3 으로 이동하라입니다.

임의로 작성한 도메인입니다.

 

 

그리고 kbstar.com 을 접속해봤습니다.

현재 이 사이트가 "국민은행"처럼 보이시죠.

절대 아닙니다. 위의 hosts 내용을 보면 임의로 작성한 ip로 접속하게 했습니다.

 

 

다시 kvstar.com 으로 접속 해봤습니다. 이런 도메인이 있는지 모르지만.

역시나 국민은행 홈페이지와 똑같네요?

 

 

해커가 심어놓은 악성코드는 hosts파일을 임의로 수정해서 국민은행이든 금융사이트 이동시 특정 사이트로 지정해서 그쪽으로 유도할 수 있습니다.

 

"파밍 피해예방법"

1) PC 백신 프로그램을 이용하여 악성코드 탐지 및 제거

2) 금융회사에서 안내하는 "뱅킹 사이트"의 정상 여부 확인

3) 출처 불분명한 파일 다운로드 않기

4) 금융사고 발생시 즉시 금융회사에 신고 및 지급정치 요청

5) 위조사이트에 "보안카드","신용카드" 정보를 입력한 경우 즉시 금융회사에 분실신고

 

 "위조사이트" 식별 TIP

1) 한 화면에서 "통장 비밀번호", "공인인증서 비밀번호", "보안카드" 입력시 위조사이트 주의

2) 접속한 금융회사의 주소가 정상적인 주소인지 확인

3) SMS를 통해 안내되는 URL 접속 자제

4) 출금계좌번호를 직접 입력하는 경우 위조사이트