http://www.krcert.or.kr/secureNoticeView.do?num=175
지난 연구회 강의에서 말씀드렸던 피싱 사기가 은행을 사칭해 개인정보 도난으로 구현되었습니다. (제가 사용한 페이지를 Daum으로 착각하시면서 흐르던 정적을 잊지 못합니다. ^^)
이번 KrCERT에서 발표한 내용에 의하면, 국민/농협 사이트가 대상이었다고 하지만, 얼마든지 다른 은행들로 확산될 수 있다고 볼 수 있습니다.
이번엔 악성 코드가 동원되어 URL을 속이고 개인 정보를 입력받도록 유도하였습니다. ^^; KrCERT의 발표를 참고하시기 바랍니다.
국내 은행 위장 사이트 주의
□ 개요
o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨
□ 설명
o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당
hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함
- 61.222.186.60 ibn.kbstar.com
- 140.119.210.85 banking.nonghyup.com
- 140.119.210.85 bank.nonghyup.com
o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등을 유출함
※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지 금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨
□ 예방책
o 최신의 윈도우즈 보안 패치 적용
- 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용
- 보호나라의 PC 자동 보안업데이트 설치
□ 해결 방법
o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함
(hosts 파일 확인방법 및 수동치료방법 참고)
o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을 사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지 않아야 함
※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를 수행하시기 바랍니다.
- 뉴테크웨이브 제공 전용백신(바이러스체이서)
- 안철수연구소 제공 전용백신(V3)
※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.
※ hosts 파일 확인 방법 및 수동치료 방법
o hosts 파일 확인 방법
① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭
※ Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
※ Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭
③ 은행 홈페이지 주소가 있는지 확인
o 수동치료 방법
① 부팅시 F8을 눌러 안전모드로 부팅
② 윈도우 폴더에 생성되어 있는 악성파일 “SVCH0ST.exe” 삭제
※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임
※ 운영체제별 윈도우 폴더 :
- Windows NT/2000 ⇒ C:\Winnt\
- Windows XP ⇒ C:\Windows\
③ 악성코드가 생성한 아래 레지스트리 항목 삭제
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서
c:\\windows\SVCH0ST.EXE
④ hosts 파일에 삽입된 금융관련 사이트 삭제
61.222.186.60 ibn.kbstar.com
140.119.210.85 banking.nonghyup.com
140.119.210.85 bank.nonghyup.com
※ 운영체제별 hosts 파일 위치
- Windows 2000/NT일 경우 : C:\WINNT\system32\drivers\etc\hosts
- Windows XP일 경우 : C:\windows\system32\drivers\etc\hosts
인터넷침해사고대응지원센터 http://www.krcert.or.kr/