사기성 메일이 뭐죠?

[sixt06]

Thunderbird 1.5rc2를 깔았습니다. 잘 도착한 메일에 "사기성 메일"이라고 표시가 되어있는데

스팸메일은 스팸메일함으로 걸러지거든요

근데 사기성 메일은 또 뭔지 알고 싶네요

[김정균]

Thunderbird 1.5rc2를 깔았습니다. 잘 도착한 메일에 "사기성 메일"이라고 표시가 되어있는데

스팸메일은 스팸메일함으로 걸러지거든요

근데 사기성 메일은 또 뭔지 알고 싶네요

pishing mail 을 의미합니다.

[소프트원트]

Thunderbird 1.5rc2를 깔았습니다. 잘 도착한 메일에 "사기성 메일"이라고 표시가 되어있는데

스팸메일은 스팸메일함으로 걸러지거든요

근데 사기성 메일은 또 뭔지 알고 싶네요

Scam (인터넷 사기) 기능에 대해 말하는 것같내요. 즉 발신자의 실재 주소나 메시지내에 의도한 링크 위치가 다른 곳인 경우, 이를 경고/알려주는 기능입니다.

예를 들어

Code: Select all

1. <a href="http://www.naver.com" target="_blank">http://www.yahoo.co.kr</a>

2. <a href="http://www.naver.com">http://www.naver.com</a>

위의 1번의 경우는 사용자에게 http://www.yahoo.co.kr로 표시되어 있기 때문에, 이를 클릭한 사용자는 yahoo사이트로 알 것입니다. 그러나 잘못된 경로로 이동하게 되겠죠. 소스상의 링크 주소가 naver.com이니까요.

2번은 소스와 밖으로 보이는 것이 동일하죠.

이런 경우, 1번에 대해 썬더버드는 [스캠:사기메일]이라고 표시합니다. 본문 상단 막대에 표시가 될 것입니다.

2번은 동일한 것이기 때문에, 정상 메일로 처리하는 것입니다.

위의 경우 너무나 뻔히 아는 경우지만, 도메인 주소를 교묘히 조작하여, 비슷한 도메인 주소일 경우, 중요한 개인 정보를 입력할 수도 있겠죠.

따라서 썬더버드에서 [본문 내용]을 [원본 HTML]또는 [단순 HTML]보다는 [평문 텍스트]로 선택하는 게 바람직합니다.

이 설정은 [보기(View)>본문 내용 표시방법(Message Body as)]에서 하시면 됩니다.

그리고 첨부메일, 영문 메일, 자신과 직접적인 관련이 없는 호기심 자극성 제목은 [스팸] 처리하시기 바랍니다.

[빛알갱이]

그리고 첨부메일, 영문 메일, 자신과 직접적인 관련이 없는 호기심 자극성 제목은 [스팸] 처리하시기 바랍니다.

순진한 사람이 잘못 걸리기 쉬운 경우: 자신이 아무개 은행(신용 카드 회사, ....)에 계좌를 가지고 있는데, 그 은행 계정에 무슨 이상이 있으니, 뭐 어떻게 해라 하면서 다음과 같은 링크를 포함해서 메일을 보낸 경우 (물론, 화면은 진짜 xyzbank와 똑같이 만들어 놓았지요)

<a href="evil.site.com">www.xyzbank.com</a>

제가 계정을 가진 ISP의 메일 스캐너는 이 경우에도 걸러서 이런 링크 앞에 빨간 글씨로 둘이 불일치하니까 주의하라고 써 놓고, 링크를 disable시켜 버리더군요.

[sixt06]

답글 감사드립니다.

제가 받는 뉴스레터가 계속 사기성 메일로 걸러지던데
뉴스레터 사이트에 문의를 해봐야 겠네요

[빛알갱이]

<a href="evil.site.com">www.xyzbank.com</a>

<a href="evil.site.com">여기</a>로 가셔서 즉시 ...을 하세요.

주소가 evil.site.com이면 주소창에 나온 주소를 보고 가짜인 줄 금방 알 텐데, 뭐가 문제냐고 얘기할 수도 있습니다. 하지만, 주소창을 제대로 보지 않는 사람이 꽤 있어서 문제입니다. 패스워드 등을 넣은 다음에 깨달으면 이미 늦지요. 또, 설령 주소창을 본다고 해도 속이는 방법이 있습니다. 'xyzbank'에서 'a'자와 'b'자를 키릴 알파벳의 'a'자와 'b'자를 쓰면 거의 비슷해서 (글꼴에 따라 완전히 같은 경우가 많습니다) 구별이 안 갑니다. 그래서, 파이어폭스와 오페라는 com domain을 비롯해서 도메인 등록자가 이처럼 문제가 되는 script mixing을 가려 내지 않는 TLD에 대해서는 ASCII 범위가 아닌 글자는 punycode(유니코드로 표현할 수 있는 모든 글자를 ASCII 범위 내의 글자로만 바꿔서 표현하는 방법 중 하나로 도메인 이름 서비스에 씁니다.)로 보여 줍니다. 한글 도메인 이름을 com처럼 안전하지 않은 TLD(top level domain)와 같이 쓰면 (예를 들어, '한글.com'), 주소창에 한글 도메인 이름을 표시하지 않고, 'xn-......com'으로 표시합니다. 반면에 kr 도메인은 이런 경우에 등록을 아예 받아 주지 않으므로, '한글.co.kr'은 주소창에 그대로 표시됩니다.

[용오름]

주소가 evil.site.com이면 주소창에 나온 주소를 보고 가짜인 줄 금방 알 텐데, 뭐가 문제냐고 얘기할 수도 있습니다.하지만, 주소창을 제대로 보지 않는 사람이 꽤 있어서 문제입니다. 패스워드 등을 넣은 다음에 깨달으면 이미 늦지요. 또, 설령 주소창을 본다고 해도 속이는 방법이 있습니다.

실제 주소창의 주소를 확인해도 완벽하게 속일수 있는 방법도 있습니다. MS의 IE에서 발생하는 문제이지만 2004년 말쯤에 공개된 XSS의 버그를 이용한 방법도 있죠.

이 방법은 사용방법이 복잡하고 조건이 좀 까다로운 관계로 실제 성공 가능성은 적지만 조건만 완벽하면 주소창에 보이는 주소까지 완벽하게 바꿔놓습니다.

즉, 'abc.com'이라고 보이고 실제 가는 곳은 'xyz.com'일 경우 기존 방법은 xyz.com라는 글짜가 주소창에 보이지만,
XSS로 주소창까지 속이면 주소창과 링크를 누르기전 아래 상태창에 보이는 주소 모두 'abc.com'으로 나오죠.

XXS를 사용하는 방법은 IE등에서만 작동하고 FF, 모질라, 오페라 등에선 링크를 눌러도 반응이 없죠.(아직 이 피싱기법을 해결하기위한 패치는 나오지 않은 걸로 알고 있습니다.)