'정보보안/정책 및 기술' 카테고리의 글 목록 (5 Page)

상품권 문자 피싱

사건 내용 상품권 발송 피싱 메일을 통해 링크(URL) 클릭 유도 링크로 접속 시 악성 애플리케이션을 다운로드되고 해커에 의해 디바이스 점령 - 사진, 연락처, 전화 등 접근 권한이 해커에게도 부여됨 '000 출시 기념. 고객에게 모바일상품권이 발송됐습니다.' http://t.ly/***** '쓰레기 방치 및 투기로 신고가 접수되어 알려드립니다. 민원내용 확인하기' http://t.ly/*** 한국인터넷진흥원(KISA)이 지난해 차단한 문자(SMS) 속 악성 URL만 2,764건(중복 제외)에 달한다. 특히 지인으로 속이거나 공공기관으로 속인 문자가 지난해만 각각 5만 9천여 건, 35만여 건 뿌려졌다

format_list_bulleted 정보보안/정책 및 기술
· 2024. 4. 1.
textsms

1원 인증으로 10만원 획득

금융 계좌 비대면 개설 시 인증수단으로 사용하는 '1원 인증'을 악용하여 10만원을 빼간 이용자가 있다고 한다. 세상에는 참, 돈을 얻기 위해 별의별 아이디어가 다 동원되는 구나 감탄한다. 사건 내용 29일 KBS보도에 따르면 국내 A은행 가입과정에서 1원 인증을 일주일동안 10만 번 반복해 10만 원을 빼간 이용자가 적발됐다. 물리적으로 불가능한 시간이라 지정된 명령을 자동으로 반복하는 ‘매크로’를 사용한 것으로 예상된다고 전했다. 1원 계좌 인증은 다음과 같은 순서로 이뤄진다. 본인이 이미 보유하고 있는 계좌를 통해 가입을 원하는 금융사로부터 1원을 입금받는다. 금융사가 설정한 입금자명을 올바르게 입력하면 본인 인증이 완료된다. 은행연합회의 비대면 실명인증 가이드라인에 따르면 은행은 온라인으로 실명인..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 26.
textsms

보안 특화 브라우저들

1. 덕덕고 브라우저 검색 기록을 저장하지 않고, 광고 업체에 데이터를 전달하지도 않는 구글 검색 엔진의 대안 강력한 추적 차단 기능 (크롬보다 훨씬 효과적) 익명 인터넷 서핑 지원 영어만 지원 (2024년 기준) 맥, 윈도우, 안드로이드, IOS 버전 지원 개인정보 보호 기능 강화 (오류 보고서도 마이크로소프트로 전송되지 않음) 2. 고스터리 프라이빗 브라우저 추적 차단 분야에서 가장 잘 알려진 브라우저 확장 프로그램 고스터리 추적 차단 기술 기반 빠른 로딩 속도 설치 과정에서 쿠키 설정 팝업 차단 옵션 제공 기본 설정은 파이어폭스 기반 자체 검색 엔진 개발 3. 브레이브 리브르울프(LibreWolf)는 데이터 보호에 최적화된 파이어폭스 여러 언어 지원 일반 방문자 모드, 시크릿 모드, 토르 네트워크 ..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 19.
textsms

가상자산 거래소 이용자 대상 표적 피싱 공격

비트코인 가격이 급등하면서 가상자산 투자자들을 겨냥한 해킹 공격이 발생하고 있다. 특히 가상자산 거래소 이용자들의 정보를 활용하여 표적으로 삼고 있다. 이메일 첨부에 악성 코드 또는 링크를 숨기고 정상적인 거래소 정책 및 정관 변경 내용으로 이메일을 송부하여 열람하고 클릭하도록 유도한다. 공격 기법 가상자산 거래소 이용자에게 피싱 메일 발송 - 내용: #"ㅇㅇㅇ 운영팀 입니다, 시가 등에 영향력을 행사할 수 있는 주요 관계인들의 정보를 다시 파악하려고 합니다, 투자자 보호 및 디지털자산 시장의 건전화를 위해 위 절차를 마련하게 되었음을 양지하여 주시기를 바라며, 원활한 이해를 위하여서는 디지털자산 프로젝트의 적극적인 협력과 도움이 필요합니다." '첨부2_*** 메일 내용(참고).pdf'와 '첨부1_성명_..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 19.
textsms

악성 AI 해킹툴

ChatGPT로 시작된 LLM 기반의 서비스가 봇물을 이루면서 나오고 있다. 사회에 명과 암이 있듯이 GPT도 ChatGPT, Gemini 같은 유익한 서비스도 있지만 해킹을 도와주는 서비스도 다양하게 나오고 있다. 이런 류의 AI 서비스는 해킹 코드를 만들어 주거나 피싱 메일을 위한 정교한 콘텐츠 생성을 제공한다. 피싱메일의 경우 타켓의 일부 개인정보만 입력하면 관련된 SNS를 탐색하여 그 타깃에 맞는 콘텐츠를 구성해 준다. 예를 들면, 이름과 이메일을 입력하면 페이스북, 링크드인 등 모든 SNS 서비스를 검색하여 취미, 기호, 가족, 지인 정보를 수집하여 콘텐츠를 구성하여 준다. GPT 이전에는 이 작업이 거의 막일 작업으로 해커들이 스피어피싱을 위해 가장 많이 소비한다. 현재는 이런 작업이 몇 분이..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 17.
textsms

알리와 태무가 위험한 이유

전 세계적으로 인플레이션이 심화되면서 가장 주목받고 있는 기업이 알리익스프레스와 테무이다. 한국에서도 알리익스프레스가 이커머스앱 다운로드 순위에서 쿠팡 다음 2위까지 올라갔다. 태무는 5위이다. 가히 폭발적이다. 필자도 이 두 사이트에서 구매한 경험이 있다. 그런데 사실 앱은 신뢰하지 않아 구매만 하고 삭제한다. 개인정보도 넘어간다고 생각하고 이용한다. 그럼 꺼려지는 이유가 무엇인지 한번 설명해 보려고 한다. 첫째는 중국이라는 나라의 신뢰다. 중국은 사회주의 국가이다. 그 사회가 시민의 사회가 아닌 공산당 중심의 사회이다. 모든 국가권력이 공산당 중심으로 이루어져 있고 개인의 정보는 공산당이 마음만 먹으면 개인의 동의 없이 이용이 가능하다. 즉, 중국앱이 수집하는 개인정보는 언제든지 불법적으로 이용이 가..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 14.
textsms

공유자전거 및 전동킥보드 큐알 코드를 악용한 큐싱

도심에서 자주 이용하는 따릉이, 공유자전거 및 전동킥보드의 큐알 코드를 이용한 해킹이 증가하고 있다. 중장년층이 많이 피해를 보는 보이스피싱과 달리 QR코드를 많이 활용하는 청년층이 주로 당하는 게 특징이다. 방법은 다양하지만 기존 큐알코드에 해킹 사이트 또는 앱을 설치 유도하는 큐알코드를 덮는 '큐싱'이 확산되고 있다. 23년 온라인 보안 공격 가운데 17%가 이 큐싱 방식으로, 한 해 전보다 60%가량 증가했다. 해킹 방법 공유자전거 및 전동킥보드 사용 큐알코드에 가짜 큐알코드를 덮어서 악성 앱을 설치 세미나장 등의 행사장에서 이젤 안내판을 통하여 가짜 경품 큐알코드로 접속 유도하여 개인정보 탈취 악성 앱을 설치하게 하거나 개인정보를 입력하게 해서 돈을 가로채는 방식 예방책 큐알코드를 찍기전에 덧댄 ..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 8.
textsms

공모주 신청 문자를 통한 개인정보 탈취

안랩에 따르면, 실제 상장이 예정된 특정 기업의 청약 가능한 공모주가 있다는 내용과 함께 악성 URL을 포함한 문자를 발송하여 수신자의 개인정보 탈취 시도가 있다고 한다. 해킹 방법 본문에는 ‘사전신청 할인’이나 ‘선착순’ 등 자극적인 표현을 사용해 사용자의 악성 URL 접속을 유도 ‘XXX(기업명) 코스피 3월 중순 상장 공모가 14,000원 6,000원 사전신청 선착순’과 같은 방식 URL을 클릭하면 ‘특별공모 신청하기’라는 피싱 페이지로 연결 사용자가 해당 페이지 내 정보입력 칸에 이름과 전화번호를 입력하면 이 정보는 공격자의 서버로 전송

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 6.
textsms

악성코드 숨긴 AI/ML 모델을 활용한 해킹

오픈소스 AI/ML 모델이 증가하면서 AI 플랫폼에서 심각한 취약점도 다수 발견되고 있다. ML플로우(MLflow), 클리어ML(ClearML), 허깅페이스(Hugging Face)와 같은 오픈소스 플랫폼에서 초고위험도 취약점이 발견되었다. 특히 , 허킹페이스에서 악성 코드가 숨겨진 AI/ML 모델이 100개 이상 발견되었다. 해당 모델은 시스템 제어권 탈취, 서버 내 저장 파일 삭제, 백도어 설치, 원격에서 코드 실행과 같은 심각한 악성행위를 할 수 있는 취약점이어서 주의가 필요하다. 악성코드가 사용된 모델은 파이토치가 95%, 텐서플로우가 5% 를 차지 공격 기법 ComPromptMized : 공격자는 쿼리와 데이터에 코드를 삽입함으로써 이러한 애플리케이션이 생성 AI 서비스 또는 검색 증강 생성(R..

format_list_bulleted 정보보안/정책 및 기술
· 2024. 3. 6.
textsms