(https://m.boannews.com/html/detail.html?tab_type=1&idx=131964)
가짜 올림픽 티켓킹 사이트로 티켓판매 사기를 저질렀다. 신뢰도 높은 웹사이트인것처럼 속여 정상 가격의 3~10배의 가격으로 사기 거래를 저질렀다.
피싱사이트를 걸러내는 방법에 대해 소개하고 있다.
사회공학 공격 기법: 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격 기법
원리:
시스템을 이루는 노드들 중 인간을 공략하는 사회공학적 기법이 가장 효과적인 공격법이었다. -1990년대 유명 해커 케빈 미트닉-
보안이 발전하면서 비교적 취약하고 예측이 힘든 사람을 공략하여 목표를 달성한다.
주로 타깃 설정& 정보수집, 타깃 맟춤 신뢰관계 형성, 공격 실행, 흔적 제거 4가지 단계로 이루어진다.
공격 유형으로는 Baiting, Scareware, Pretexting, Phishing, Spear phishing, Watering Hole이 있다.
(https://m.boannews.com/html/detail.html?tab_type=1&idx=132018)
IT 보안·인증 플랫폼 기업 라온시큐어의 키보드 보안 솔루션 ‘TouchEn nxKey(터치엔 엔엑스키)’에서 취약점이 발견됐다. 취약점은 ‘임의 DLL(Dynamic Link Library) 인젝션 악용 취약점’이다. 한국인터넷진흥원은 보안공지를 통해 해결 방법을 알리고 있다.
DLL 인젝션: DLL 인젝션(DLL injection)은 다른 프로세스의 주소공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술
원리:
DLL: Dynamic Link 라이브러리, 그래픽을 읽거나 파일을 읽고 쓰는 역할을 한다.
프로그램이 실행될때 필요한 DLL파일을 불러오는데 다른 프로세스의 주소공간 내에서 DLL을 강제로 로드시켜 악성코드를 실행시킨다. 이를 통해 시스템 함수 호출을 후킹하거나 패스워드 텍스트박스의 내용을 읽을 수 있다.