바이낸스 피싱페이지, 구글 메인 광고를 통해 연결되다.

예전에도 아는 분을 통해서 들어본 적이 있다.

구글에서 가상 화폐 거래소 바로가기를 통해 피싱사이트로 연결된다는 것이었다.

2018.01.28 아침에 글을 처음 접했고 오후 2시쯤 확인을 했었던 것 같다.

구글에서 '바이낸스' 라고 한글로 검색한 후 가장 상단에 뜨는 광고페이지가 문제였다. (현재는 조취들이 취해진 것으로 보인다.)

클릭해서 들어가면 로그인 페이지가 떴다.

그런데 주소창을 자세히 주목해보면 https://binaṇce.com/  라고 써져있는 것이 보인다. (현재는 모두 정상페이지로 리다이렉트 되지만, 접속한다면 주의를 기울여 접속하길 바람)

모니터에 티끌이 있는 것 처럼 알파벳 소문자 n이 아니라 ṇ 으로 되어있는 것을 볼 수 있다.

자세히 확인하지 않는다면 이정도의 차이는 확인하지 못하고 넘어갈 가능성이 많다.

이곳에 아이디와 패스워드를 입력하면 아래 화면으로 전환된다.

5분동안 기다려라는 메세지를 보내고...

새로고침을 하면 24~48시간 후에 접속하능하다고 뜬다.

물론 실제 서버 장애가 있는 것이 아니라 해커가 정교하게 만들어놓은 피싱페이지다. 

이처럼 유니코드 문자열을 웹브라우저(클라이언트)에서 쓸 수 있게 하는 것을 퓨니코드(Punycode)라고 한다.

이 퓨니코드는 내도메인.한국과 같은 한글, 중국어 등으로 된 도메인에 접속할 수 있게 해준다.

이번 피싱 사이트의 경우 https://binaṇce.com/ 주소를 복사하여 메모장에 붙여넣으면 https://xn--binace-zt7b.com/ 와 같다.

ṇ은 유니코드로 \u1e47 이고 이를 유니코드 참조표에서도 찾아볼 수 있다.

유니코드 참조표에서 n과 유사하게 생긴 문자또한 많고 여러 알파벳이나 기호를 이리저리 섞는다면 악성 피싱사이트를 일일히 걸러내기가 쉽지 않을 것이다.

이를 응용하여 https://ḅinaṇce.com/ 에 대한 도메인으로 https://xn--inace-r90b2t.com/ 같은 사이트를 피싱사이트로 다시 등록한다면 같은 상황이 반복될 수 밖에 없다.

사용자는 주소창을 유심히 보거나 즐겨찾기, 북마크를 통해 접속, 브라우저단에서 사이트 평판 기능이 있는 에드온(Add-On)등을 사용, 브라우저에서 퓨니코드 실행 방지 등으로 대비할 수 있다. 하지만 쉽지 않은게 현실이다.

이번에는 구글 광고를 통해서 등록되었기에 사용자들이 구글에 대한 신뢰를 바탕으로 쉽게 당할 수 밖에 없는 경우라 생각된다.

퓨니코드를 막는다면 한글, 중국어 등의 알파벳을 제외한 고유 문자 도메인들은 사용 불가능하다. 따라서 구글측이 유명한 사이트들에 대한 유사 피싱 사이트를 광고로 등록되거나 검색결과로 노출되는 것에 대한 방책을 세워야 할 것이다.