회원가입

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기

[KrCERT] 국내 은행 위장 사이트 주의

Profile
:맥노턴

http://www.krcert.or.kr/secureNoticeView.do?num=175

지난 연구회 강의에서 말씀드렸던 피싱 사기가 은행을 사칭해 개인정보 도난으로 구현되었습니다. (제가 사용한 페이지를 Daum으로 착각하시면서 흐르던 정적을 잊지 못합니다. ^^)

이번 KrCERT에서 발표한 내용에 의하면, 국민/농협 사이트가 대상이었다고 하지만, 얼마든지 다른 은행들로 확산될 수 있다고 볼 수 있습니다.

이번엔 악성 코드가 동원되어 URL을 속이고 개인 정보를 입력받도록 유도하였습니다. ^^; KrCERT의 발표를 참고하시기 바랍니다.


국내 은행 위장 사이트 주의

□  개요
  o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨

□ 설명 
  o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당 
    hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
    - 61.222.186.60   ibn.kbstar.com
    - 140.119.210.85   banking.nonghyup.com
    - 140.119.210.85   bank.nonghyup.com

  o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등을 유출함
  ※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지 금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨

□ 예방책 

   o 최신의 윈도우즈 보안 패치 적용

    - 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용

    - 보호나라의 PC 자동 보안업데이트 설치
 

□ 해결 방법

  o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함
    (hosts 파일 확인방법 및 수동치료방법 참고)

  o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을 사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지 않아야 함

※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를 수행하시기 바랍니다.

      - 뉴테크웨이브 제공  전용백신(바이러스체이서)
      - 안철수연구소 제공 전용백신(V3)
       ※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.

※ hosts 파일 확인 방법 및 수동치료 방법

  o hosts 파일 확인 방법

   ① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
    ※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
    ※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts

     

   ② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭

     

   ③ 은행 홈페이지 주소가 있는지 확인

    

  o 수동치료 방법

   ①  부팅시 F8을 눌러 안전모드로 부팅 

   ②  윈도우 폴더에 생성되어 있는 악성파일  “SVCH0ST.exe” 삭제
    ※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
    ※ 운영체제별 윈도우 폴더 :
        - Windows NT/2000 ⇒ C:\Winnt\
        - Windows XP ⇒ C:\Windows\

   ③  악성코드가 생성한 아래 레지스트리 항목 삭제
        HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서 
        c:\\windows\SVCH0ST.EXE 

   ④ hosts 파일에 삽입된 금융관련 사이트 삭제
      61.222.186.60    ibn.kbstar.com
      140.119.210.85   banking.nonghyup.com
      140.119.210.85   bank.nonghyup.com
    ※ 운영체제별 hosts 파일 위치
        - Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
        - Windows XP일 경우 :   C:\windows\system32\drivers\etc\hosts 


인터넷침해사고대응지원센터 http://www.krcert.or.kr/


Profile
:맥노턴
레벨 29
319281/324000
78%
McNorton & Education Lab.
Director
댓글
0
댓글 쓰기
권한이 없습니다.

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기