피싱 공격은 일반적으로 오해의 소지가 있는 URL을 사용하지만, 혁신적인 브라우저 인 더 브라우저(BitB) 공격은 이러한 한계를 효과적으로 극복하여 가장 교활한 피싱 유형 중 하나로 자리매김했습니다.이 공격의 작동 방식과 방어 전략을 이해하는 것은 온라인 안전을 위해 매우 중요합니다.
브라우저 내 공격 이해
“브라우저 인 더 브라우저(browser-in-the-browser)”라는 용어는 표준 브라우징 환경 내에서 브라우저 창을 시뮬레이션하는 기술을 의미합니다.공격자는 HTML과 CSS를 사용하여 가짜 브라우저 인터페이스를 만들어내고, accounts.google.com 과 같은 합법적인 주소를 모방하는 사기성 주소창을 포함합니다.이러한 수법은 사용자를 쉽게 속여 자신도 모르게 민감한 로그인 정보를 제공하게 만들 수 있습니다.
BitB 공격은 쉽게 위장할 수 있는 팝업 메커니즘을 악용하여 제3자 소셜 로그인 시도를 가로채는 데 자주 사용됩니다.이러한 공격은 초점을 전환하는 대신 사용자를 동일한 브라우저 컨텍스트에 유지합니다.그러나 더 정교한 공격에서는 가짜 창을 전체 화면으로 확장하여 악의적인 의도를 더욱 은폐할 수 있습니다.
처음에는 이 공격이 개념 증명에 불과했지만, 곧 사이버 범죄자들의 주목을 받았습니다.최근에는 Sneaky2FA 툴킷을 비롯한 서비스형 피싱(Phaas) 키트에 통합되어 더욱 광범위한 악의적 행위자가 접근할 수 있게 되었습니다.이러한 접근성은 Steam과 같은 게임 허브를 포함한 다양한 온라인 플랫폼에서 BitB 공격의 빈도를 증가시킬 것으로 예상됩니다.
이러한 공격은 언뜻 보기에는 알아차리기 어려울 수 있지만, 이러한 공격으로부터 자신을 보호하기 위해 취할 수 있는 효과적인 조치들이 있습니다.경계를 늦추지 않는 데 도움이 되는 몇 가지 주요 전략을 소개합니다.
BitB 공격의 징후 식별
BitB 공격 창이 매우 진짜처럼 보일지라도 몇 가지 마커를 사용하면 이를 감지하는 데 도움이 될 수 있습니다.
- 즉각적인 표시: 가짜 로그인 프롬프트는 클릭하는 순간 실행되는 반면, 진짜 로그인 창은 완전히 로드되기까지 시간이 걸립니다.
- 애니메이션 부족: 실제 팝업 창에는 진입 애니메이션이 있는데(비활성화하지 않은 경우) BitB 공격에는 일반적으로 부족한 기능입니다.
- 작업 표시줄 표시기: Windows에서 실제 보조 창은 작업 표시줄의 브라우저 아이콘을 변환하여 여러 개의 활성 창을 나타내지만 BitB는 이를 수행하지 않습니다.
- 그림자 디테일: 진짜 창문은 그림자 효과를 보여주어 깊이를 주는데, 가짜 창문에서는 없는 부분입니다.
또한, 덜 정교한 BitB 공격에는 잘못된 글꼴이나 버튼 디자인 등 시각적 요소에 명백한 불일치가 포함될 수 있습니다.
확인을 위한 창 요소와의 상호 작용
이러한 공격은 시각적 충실도에 대한 사용자의 수용을 바탕으로 이루어집니다.요소와의 상호작용을 통해 BitB 공격이 드러날 수 있습니다.
- 창 이동: 의심되는 창을 끌어보세요.정상적인 팝업은 이동하지만 BitB 창은 고정된 채로 남습니다.
- 주소 표시줄 상호작용: 주소 표시줄과 상호작용을 시도해 보세요. BitB와 달리 정상적인 주소 표시줄에서는 텍스트 입력이 가능합니다.
- 보안 아이콘 확인: 자물쇠 아이콘을 클릭하면 정품 브라우저 인터페이스는 보안 세부 정보를 제공하지만, 가짜 버전에서는 제공하지 않습니다.
- 초점 변경: 원래 창을 클릭하면 팝업에서 초점이 이동해야 합니다.그렇지 않으면 BitB 공격일 가능성이 높습니다.
팝업 로그인 방법 피하기
팝업 로그인 방식은 주로 타사 쿠키에 의존하고 BitB 및 중간자 공격에 취약하기 때문에 점점 더 시대에 뒤떨어지고 있습니다.최근에는 보안을 강화하는 리디렉션 방식을 선호합니다.그럼에도 불구하고 Pinterest와 같은 일부 플랫폼은 페이지 새로고침 중단을 최소화하기 위해 여전히 팝업 방식을 활용하고 있습니다.
팝업과 관련된 위험을 완화하려면 타사 로그인 옵션 사용을 자제하거나, 필요한 경우 정보를 입력하기 전에 팝업을 철저히 살펴보세요.
보안 로그인을 위한 자동 채우기 활용
브라우저나 비밀번호 관리자의 자동 완성 기능을 활용하면 편리함과 보안 강화 효과를 동시에 누릴 수 있습니다.자동 완성 기능은 정품 로그인 페이지에서만 작동하도록 설계되어 BitB를 포함한 피싱 시도에 대한 취약성을 크게 줄여줍니다.
최적의 보안을 위해 KeePass와 같은 전용 비밀번호 관리자에 투자하는 것을 고려해 보세요.브라우저에 내장된 자동 완성 기능도 괜찮지만, 전용 도구는 일반적으로 비밀번호 저장에 있어 더 뛰어난 보안을 제공합니다.
피싱 방지 인증 기술 구현
2단계 인증(2FA)은 피싱 공격에 대한 방어력을 크게 강화합니다.그러나 BitB를 포함한 고급 피싱 공격은 때때로 특정 2FA 메커니즘을 능가할 수 있습니다.예를 들어, OTP 기반 2FA 시스템은 BitB에 의해 손상될 수 있으며, 공격자는 사용자가 자격 증명을 입력할 때 시스템에 접근할 수 있습니다.
더욱 강력한 옵션으로는 하드웨어 보안 키나 패스키를 통한 비밀번호 없는 로그인 방식을 활용하는 것이 있습니다.프롬프트 기반 2FA 솔루션은 BitB와 같은 정교한 피싱 공격에 대한 효과적인 방어 기능을 제공합니다.
BitB 공격은 주로 가짜 로그인 창을 사용하지만, 스케어웨어 전술처럼 화면을 완전히 장악하는 경우도 있습니다.자격 증명을 입력하라는 메시지가 표시되면 항상 주소 표시줄을 클릭하여 인증하세요.
답글 남기기