포테이토넷, 이미지 검색 이용하는 불법광고 피싱수법 탐지

포테이토넷이 이미지 검색을 이용하는 불법 광고 피싱 수법을 탐지했다고 4일 밝혔다.

업체에 따르면 구글은 세이프 브라우징(Safe Browsing) 서비스를 제공, 사용자가 위험한 사이트에 접근하려고 할 때 위험하다는 경고 메시지를 나타낸다. 구글 검색을 이용하는 사용자에게 안전한 검색 결과를 제공하고, 크롬 브라우저를 통해 웹사이트 접속을 안전하게 보호하기 위해서다.

최근 구글 이미지 검색을 통해 불법 광고 피싱 사이트로 연결되는 새로운 방법이 나타나고 있다. 구글에서 검색어를 입력하면 '그림1'과 같이 관련 사이트 정보와 웹사이트 주소가 보인다.

그림1. 검색 결과 웹사이트 타이틀과 웹사이트 주소, 검색 관련 정보 등을 보여준다.

하지만 '그림2'처럼 구글 이미지 검색에서는 타이틀 정보와 이미지 대체문자열(alternate)만 나온다. 즉 웹사이트 주소가 나타나지 않는 것이다.

그림2. 이미지 검색 결과에서는 이미지와 웹페이지 타이틀 정보 외에 웹사이트 주소가 보이지 않는다.

'그림3'과 같이 이미지에 마우스를 올리면 대체문자열이 나타나고 브라우저 하단에 주소가 보인다. 하지만 구글 검색 문자열 형태로, 웹사이트를 주소를 확인하기 어렵다는 점을 이용해 불법 광고 피싱을 하는 수법이다.

그림3. 이미지에 마우스를 올리면 하단에 웹주소가 나타나지만, 구글 검색 키워드로 나타나는 웹주소 형태이기 때문에 URL 인코딩 상태의 웹주소를 일반 사용자가 알아보기 어렵다.

구글 검색 정보만으로 이미지를 클릭하면, 방문 사이트로 자동 이동되면서 "로봇이 아니면 '허용'을 클릭하라"(CLICK <<ALLOW>> TO CONFIRM THAT YOU ARE NOT A ROBOT)는 메시지가 나타난다. '허용'을 클릭하면 '악성 광고 서버'의 푸시 알림을 수락하게 된다. 포테이토넷 위협인텔리전스 팀이 확인했을 때에는 '허용'을 클릭하니 광고사이트로 이동했다.

또한 해당 불법 광고 피싱은 PC 오른쪽 하단에 광고창을 생성한다. 특히 사용자의 IP나 검색어에 따라 콘텐츠를 바꿔 사용자를 현혹한다. 중국 IP로 탐지되는 '.top' 도메인을 주로 사용하는 것으로 확인됐다.(예시 vvfal.ironforgemaster.top)

현재 vvfal.ironforgemaster.top은 DNS 오류로 접속이 안 된다. 불법 및 악성 웹사이트는 나타났다, 사라졌다를 반복하며 접속 오류나 애플리케이션 오류 등으로 악성 행위를 위장한다. 포테이토넷 측은 "택배 문자 등 모르는 사람에게서 온 문자나 이메일에 조심해야 한다"면서 "특히 주소 확인이 어려운 이미지 검색 시 각별한 주의가 필요하다"고 했다.

이번에 불법광고 피싱을 탐지한 포테이토넷은 위협인텔리전스 전문기업이다. 피싱과 스미싱, 악성코드 유포 웹사이트 등의 웹 위협을 탐지·방어하는 솔루션을 연구·개발하고 있다.