계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

호모글리프 고급 피싱 공격

다운로드 옵션

  • PDF     (129.0 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (76.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (61.1 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 9월 11일 (금)
문서 ID:200146
번역에 관하여

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 지능형 피싱 공격에서 호모글리프 문자를 사용하는 방법과 Cisco ESA(Email Security Appliance)에서 메시지 및 콘텐츠 필터를 사용할 때 이를 인식하는 방법에 대해 설명합니다.

호모글리프 고급 피싱 공격

오늘날의 지능형 피싱 공격에서는 피싱 이메일에 호모형 문자가 포함될 수 있습니다. 상형 문자는 모양이 서로 같거나 비슷한 텍스트 문자입니다. 피싱 이메일에 포함된 URL이 있을 수 있으며, 이는 ESA에 구성된 메시지 또는 콘텐츠 필터에 의해 차단되지 않습니다.

예제 시나리오는 다음과 같습니다.고객이 www.pypal.com의 URL이 포함된 전자 메일 차단하려고 합니다. 이를 위해 www.paypal.com이 포함된 URL을 찾는 인바운드 콘텐츠 필터가 작성됩니다. 이 콘텐츠 필터의 작업은 삭제 및 알림으로 구성됩니다.

고객이 다음을 포함하는 이메일의 예를 받았습니다. www.pɑypal.com   

구성된 콘텐츠 필터에는 다음이 포함됩니다.www.paypal.com

DNS를 통해 실제 URL을 살펴보면 다음과 같이 다르게 확인됩니다.

$ dig www.pɑypal.com

; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com

; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8

;; QUESTION SECTION:
;www.paypal.com. IN A

;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128

;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.

;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73

;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470

첫 번째 URL은 유니코드 형식의 문자 "a"의 홈 상형 문자를 사용합니다.

자세히 살펴보면, 페이팔의 첫 번째 "a"가 실제로 두 번째 "a"와 다르다는 것을 알 수 있습니다.

메시지 및 콘텐츠 필터로 URL을 차단할 때 유의하십시오. ESA는 홈 글리프 및 표준 알파벳 문자의 차이를 구별할 수 없습니다. 동성애 피싱 공격을 올바르게 탐지하고 방지하는 한 가지 방법은 OF 및 URL 필터링을 구성하고 활성화하는 것입니다. 

Irongeek는 홈 글리프를 테스트하고 악성 URL을 테스트하는 방법을 제공합니다.호모글리프 공격 생성기

Irongeek에서도 제공하는 호모글리프 피싱 공격에 대한 자세한 소개: Out of Character:피싱용 난독 URL에 Punycode 및 Homoglyph 공격 사용

TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품

시스코 소개
문의하기
시스코와 협력하기