Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

Fraud Must End - 네이버 피싱조직 추적기

Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Cargando en…3
×

Eche un vistazo a continuación

1 de 38 Anuncio

Fraud Must End - 네이버 피싱조직 추적기

Descargar para leer sin conexión

본 발표에서는 매해 진화하고 있는 온라인 피싱 사기 수법과 이를 방어하기 위한 창과 방패의 싸움의 생생한 현장에 대해 소개합니다.
실제 피싱 조직들의 사기 수법을 소개하고 이를 추적한 경험을 공유합니다.
또한 피싱 사기를 방지하기 위한 공동 대응 방안에 대해 제안합니다.

본 발표에서는 매해 진화하고 있는 온라인 피싱 사기 수법과 이를 방어하기 위한 창과 방패의 싸움의 생생한 현장에 대해 소개합니다.
실제 피싱 조직들의 사기 수법을 소개하고 이를 추적한 경험을 공유합니다.
또한 피싱 사기를 방지하기 위한 공동 대응 방안에 대해 제안합니다.

Anuncio
Anuncio

Más Contenido Relacionado

Más reciente (20)

Anuncio

Fraud Must End - 네이버 피싱조직 추적기

  1. 1. 1 PAGE Fraud Must End 네이버 피싱조직 추적기 Presented by Hyunjun Park @ NAVER Security
  2. 2. 2 PAGE - 10+ yeasrs in security - DEFCON 27 DEMO LABS SPEAKER (2019) - Security Researcher @ NAVER Security E-mail : june.park@navercorp.com Hyunjun Park About Me
  3. 3. 3 PAGE Real vs Fake What do you think is real?
  4. 4. 4 PAGE https://nid.naver.com https://naverpay.cafe123.com ←Real Fake→
  5. 5. 5 PAGE How Phishing Group Work? 피싱 그룹은 탐지 회피를 위해 사이트를 유동적으로 생성/운영하고 있으며, 사용자의 계정 및 금전 탈취를 주 목적으로 활동중 2. 피싱용 물건 등록 1. 피싱 사이트 준비 4. 계정 탈취 3. 피싱사이트 유도 5.금전 탈취 $$
  6. 6. 6 PAGE Case 1 : By (Hacked) Seller Case 2 : NAVER Cafe (Joongonara) Case 3 : Other Platform Case Study NAVER Phishing
  7. 7. 7 PAGE 1. 판매자 계정 해킹 후 상세 페이지 변경 - 피싱 조직이 오픈마켓 판매자 계정을 해킹 - 탈취한 계정으로 판매중인 물품의 상세 페이지를 변조 - 정상 결제가 아닌 카카오톡으로 문의 유도 2. 카톡 문의 유도 후 피싱페이지 전달 - 카톡 문의시, 판매 수수료를 핑계로 [네이버 안심거래]를 제안 - 제안 수락시 네이버 피싱 페이지 전달 - 피싱 페이지에 계정 입력 후 결제 금액 송금 (계정 탈취 + 금전 탈취) Case 1. By (Hacked) Sellers
  8. 8. 8 PAGE 오픈마켓 - 수십~수백개 물품을 등록한 판매자의 경우 해킹에 의한 상세페이지 변조 사실을 알기 어려움 - 카카오톡 메신저를 통한 피싱은 1:1 성격상 탐지 및 대응이 어려움 Case 1. By (Hacked) Sellers 오픈마켓 판매자 계정을 해킹하여 상세페이지 내용을 변조 후 피싱사이트로 유도 [ 판매자 계정 해킹 후 변조된 상품 상세페이지 ]
  9. 9. 9 PAGE Case 1. By (Hacked) Sellers 피싱 그룹은 카카오톡 (가짜 계정)을 통해 네이버 피싱 링크를 전달하고 계정 및 금전 탈취를 유도함 네이버 URL과 유사한(?) 형태의 가짜 URL 전달 (중고나라 링크) 피싱링크 전달 (메신저) 가짜 네이버 로그인 페이지에 ID/PW 입력 네이버 계정 탈취 주소 + 전화번호 입력 후 지정 계좌로 송금 유도 송금유도 (대포통장) $$ 2 3 4 1
  10. 10. 10 PAGE 1. 중고나라 카페 허위매물 등록 - 네이버 해킹 ID를 이용해 허위매물 등록 - 공개 연락처 없음. 사기 카카오톡 채팅 유도 or "구매 문의 채팅"을 통해 피싱 유도 2. 가짜 안전거래 (피싱페이지) 유도 - 채팅을 통해 중고 물품 거래를 위한 안전거래 제안 - 외부 안전거래 (피싱페이지) URL 전달 ※ 네이버는 카페내에서만 안전결제 사용 가능 (외부링크 결제는 불가) Case 2. NAVER Cafe : Joonggonara
  11. 11. 11 PAGE 해킹한 네이버 계정을 이용해 허위매물 등록 후 피싱페이지 유도 주소 + 전화번호 입력 후 지정 계좌로 송금 유도 송금유도 (대포통장) $$ 가짜 네이버 로그인 페이지에 ID/PW 입력 네이버 계정 탈취 Case 2. NAVER Cafe : Joonggonara 인기 중고매물을 싼 가격에 등록 후 카카오톡 유도 허위매물 등록 네이버 URL과 유사한(?) 형태의 가짜 URL 전달 (중고나라 링크) 피싱링크 전달 (메신저) 2 3 4 1
  12. 12. 12 PAGE 1. 이메일을 통한 피싱 사기 - 중고 거래 과정에서 이메일 주소를 요구 - 이메일 주소로 네이버 안전결제 (피싱 사이트) 링크 전달 2. 타사 모바일 앱을 이용한 피싱 사기 - 타사 중고거래 앱에서 네이버 피싱으로 유도하는 사례 - 앞서 소개한 사례와 유사하나 카카오톡 대신 중고거래 앱 자체 채팅 기능을 통해 피싱 유도 Case 3. Other Platform
  13. 13. 13 PAGE 사기 수법의 특징
  14. 14. 14 PAGE 가짜 카카오톡 계정 사용 안전거래(?) 등록 친근한 프로필 사용 But... 해외 임시인증번호 또는 대포폰을 이용해 생성한 가짜 계정 사용 중고나라 물품은 외부링크 결제가 불가능한 구조 (카페 내에서만 가능) OO맘, OO아빠 등 친근한 이름과 (도용한) 가족 사진을 프로필에 등록. 프로필 싱단에 선물,송금 아이콘 없음 카카오톡 가짜 계정 구분하기
  15. 15. 15 PAGE ㆍ피싱 사이트 유도를 위한 허위매물은 주로 도용(해킹)된 계정으로 등록됨 ㆍ일부 회원의 경우 도용 사실을 모른채 중고물품 사기에 본인 계정이 사용됨 ㆍ피싱을 통해 획득한 계정을 다시 허위매물 등록에 악용 도용 계정을 사기에 악용 [ 중고나라 카페 - 본인 계정이 해킹당해서 허위물품이 등록된 사례 ]
  16. 16. 16 PAGE Tracking Phishing Group NAVER Phishing
  17. 17. 17 PAGE 수백개 이상의 피싱용 도메인을 사용하고 있으며, 피싱 활동중에만 운영하므로 분석 및 차단이 어려움 치고 빠지는 형태의 피싱 사이트 운영 피싱과정에서 획득한 회원 계정을 도용하여 허위매물 등록 등 악의적 목적으로 재활용 탈취계정의 재활용 싱가폴, 중국 내 클라우드 서버를 주로 사용하므로 추적을 위한 협조가 어려움 해외 소재 클라우드 서버 이용 피해자를 끌어들이기 위한 방법을 계속해서 개발중 중고나라 뿐만 아니라 타 플랫폼(당근마켓 등) 확장 피싱 방식의 진화
  18. 18. 18 PAGE Tracking process 도메인 분석 카페 모니터링 피싱 URL 수집 데이터 정리 위협 정보 수집 대응
  19. 19. 19 PAGE ㆍ특정 조건으로 가입한 의심 회원 모니터링 ㆍ카톡 거래유도, 텍스트가 포함된 물건 이미지 등록시 의심 ㆍ인기 있는 상품이 너무 싼가격으로 등록된 경우 의심 의심 회원 모니터링 ㆍ사기꾼 관련 피해사례 공유 게시판 모니터링 ㆍ카페 + 국내 다수 커뮤니티 게시글 모니터링 사기 후기(?) 모니터링 카페 모니터링
  20. 20. 20 PAGE 카카오톡ID 컨택 피싱URL 수집 이걸 왜 일일이 수동으로...? ㆍ중고나라 매물 중 연락처 없이 카카오톡 연락처만 남긴 사람에게 컨택 ㆍ대부분 한국 IP로 카카오 '글로벌 시그널' 기능을 회피 ㆍ거래의사를 표시하면 안전거래로 유도하며 피싱사이트 전달 ㆍ피싱 URL 주소형태로 볼 때 3~4개 이상의 조직 활동중으로 파악 ㆍ피싱 링크는 항상 유효하지 않음. (치고 빠지기) ㆍ클라우드 API를 이용해 사기 행각을 벌일때마다 새끼 도메인을 생성하고 사기 이후에 도메인 Disable 피싱URL 수집
  21. 21. 21 PAGE ㆍ중국 베이징 내 알리바바 클라우드 서버 사용 ㆍCNAME : me.sysah.net ㆍO 개의 피싱조직 IP 추출 클라우드 기반 서버 도메인 분석 ㆍ해당 IP를 이용해 등록되었던 도메인명을 추적 (2017 ~ 2020, 4년간) Reverse IP를 이용한 도메인 추적
  22. 22. 22 PAGE 400+ Domains Reverse IP를 통해 400개 이상 피싱용 도메인 추출 네이버 유사(?) 도메인 사용 네이버뿐만 아니라...옥션, 지마켓, 번개장터 등 cafe-naver01.com cafe-naver07.com cafe-naver10.com cafe-naver21.com cafe-naver39.com cafe-naver44.com cafe-naver56.com cafe-naver60.com cafe-naver71.com cafe-naver77.com cafe-naver89.com npage-naver634.com npage-naver64.com npage-naver65.com npage-naver66.com npage-naver67.com npage-naver671.com npage-naver68.com npage-naver69.com npage-naver70.com npage-naver71.com npage-naver72.com
  23. 23. 23 PAGE 공개 정보 + 기관 + 기업 협조를 통해 피싱관련 데이터 추가 수집 Threat Intelligence
  24. 24. 24 PAGE 대응 : in scope 피싱 도메인 대응 : out of scope 카카오톡 계정 대응 : in scope 피싱 피해계정 400+ 50+ 3000+ 데이터 정리
  25. 25. 25 PAGE Google Safe Browsing + 네이버 피싱 탐지 알고리즘을 통해 피싱 사이트 차단 확보된 피싱 도메인을 WSB 에 업데이트 대응 : Whale Safe Browsing
  26. 26. 26 PAGE ㆍ중고나라 카페 모니터링 + 어뷰징, 의심 로그인 계정 ㆍ도용 의심계정, 피싱 피해 계정에 대한 보호조치 피싱 피해 예상계정에 대한 보호조치 대응 : 회원 보호조치
  27. 27. 27 PAGE Lessons Learned NAVER Phishing
  28. 28. 28 PAGE ① Teamwork is the key 보안팀 혼자서는 피싱피해를 막는데 한계가 있습니다. 각 서비스 담당자와의 협업을 통해 정보를 빠르게 공유하고 피싱 차단 전략을 수립하는것이 중요합니다. 서비스 담당자와의 협업이 중요
  29. 29. 29 PAGE ① Teamwork is the key ㆍ피싱 조직 관련 위협정보 수집 ㆍ피싱 피해 계정 수집 Threat Intelligence ㆍ카페, 메일 등 서비스로 부터 피싱 데이터 수집 ㆍ피싱 피해 회원에 대한 신속한 보호조치 실시 NAVER Services ㆍ피싱 조직 분석 ㆍ대응 전략 수립 NAVER Security 02 01 03 네이버 서비스 팀과의 협업 + 외부 위협정보 수집 활동을 통해 신속하고 정확한 피싱 대응이 가능
  30. 30. 30 PAGE ② Focusing on what we can do 피싱 대응은 신속성이 가장 중요합니다. 즉, 통제 밖의 요소를 해결하는데 시간을 낭비할 수 없습니다. 현재 네이버가 가진 역량과 자산을 활용하면 피해를 막을 수 있습니다. 할 수 있는것에 집중
  31. 31. 31 PAGE 피싱 사기과정에서의 단계별 연결고리를 끊어내자 What we do for user protection NAVER Phishing
  32. 32. 32 PAGE 네이버 피싱 데이터 통합 수집 피싱 사이트 위험도 분석 CT 실시간 모니터링 네이버 서비스 내 피싱으로 의심되는 URL에 대한 통합 DB 구축 Whale Safe Browsing과 연계 도메인 네임, 사이트 스크린샷 분석을 통해 피싱 유사도 및 위험도 분석 HTTPS 적용된 피싱사이트에 대한 등록 실시간 모니터링 NAVER Anti Phishing System
  33. 33. 33 PAGE 네이버 피싱 탐지 알고리즘 + 한국형(?) Safe Browsing DB 구축 네이버 피싱사이트에 대해 구글 크롬 대비 4배 더 탐지, 차단 (20년 10월~11월 데이터 기준) Whale Safe Browsing [ 동일 피싱 사이트 접속시 크롬(미차단) 과 웨일(차단성공) 비교 ]
  34. 34. 34 PAGE CT(Certificate Transparency) Monitoring 피싱 조직이 네이버 피싱사이트 제작 후 HTTPS 인증서 등록시 해당 도메인을 실시간으로 탐지 가능 Ref. : https://www.certificate-transparency.org
  35. 35. 35 PAGE ㆍ1개 카카오톡 계정은 N개의 네이버 계정과 연결 ㆍ도용의심 회원계정에 대한 분석 및 보호조치 실시 카카오톡 거래 유도 게시글 모니터링 중고나라 사기모니터링
  36. 36. 36 PAGE ③ But... 타 플랫폼에서 발생하는 피싱은 우리가 적극적으로 대응 불가 결국, 국민의 피해를 줄이기 위해선 피싱과 관련된 모든 주체가 적극적인 공조를 통해 해결해야 합니다. 대응의 한계
  37. 37. 37 PAGE 매년 반복되는 피싱 사기와 고도화되는 수법에 대응하기 위해 NAVER Security 팀은 계속해서 아이디어를 생각하고 있습니다. 피싱사기가 뿌리뽑히는 그 날까지 네이버 회원 보호를 위해 최선을 다하겠습니다. Fraud must end
  38. 38. 38 PAGE Thank You! Presented by Hyunjun Park @ NAVER Security

×