조심해야 할 피싱에 사용되는 주요 기술 7가지 유형

피싱이 개인 정보를 낚기 위해 사용하는 방법이나 기술은 대략 일곱 가지가 있다.
● 사용자를 유도하기 위한 문구를 사용한다. 가령 “48시간 이내에 응답하지 않으면 계좌가 정지됩니다.” “패스워드 변경 안내” “고객님의 회원 정보 확인은 다음 링크를 클릭하십시오.” 등의 문구를 사용해 사용자들이 피싱 사이트로 접속하도록 유도한다.
● 의도적으로 URL 문자를 누락하거나 변형한다. 가령 한국은행의 인터넷 주소는 www.hankookbank.com인데 이를 www.hangookbank.com으로 변형하는 것이다.

● 팝업 창을 이용해 가짜 사이트 주소를 은폐한다. 이메일을 열었을 때 팝업창을 띄워서 연결된 사이트 주소를 은폐하는 데 사용한다.
● URL을 인코딩하거나 변경한다. 즉, 가짜 사이트의 링크 주소를 사용자가 알기 어렵도록 조작한다. http://7763631761/elogin.html 혹은 http://%77%77%77%77.3%65%653-%69%6c11%6c%693%6c%69%6c%6c.%6f%72%67 같은 형태를 띤다.
● URL의 데이터 필드를 조작해 공격자가 의도한 사이트로 유도하거나 심지어 웹 페이지에서 XSS(Cross-site scripting) 공격 코드를 실행할 수 있다. (예) http://bank.com/ebanking?URL=http://victim.com/phishing/fakepage.html
● 인터넷 브라우저의 취약점을 이용해 사용자가 인지하기 어렵게 한다. 취약점의 한 예인 ‘IE URL Mishandling’의 경우 특정 캐릭터를 사용하면 이후 URL을 감출 수 있는데 이때 로그인 캐릭터 위치에 피싱 사이트를 삽입할 수 있다.
● DNS(Domain Name System), 호스트 파일 또는 프록시 서버의 주소를 직간접적으로 변조하는 파밍(Pharming) 기법이 있다. 위조된 이메일 또는 홈페이지를 이용하는 피싱과 달리 파밍은 사용자가 더 쉽게 속는다. 예를 들어, 윈도의 호스트 파일에 www.bank.com의 주소가 특정 사이트로 기록되어 있는 경우 원래의 www.bank.com이 아닌 곳으로 접속되어 사용자는 정상 사이트로 오인하기가 쉽다.

출처 : http://kin.naver.com/knowhow/entry.php?d1id=5&dir_id=5&eid=rHcWZPbAHS/r+eZTmlSTRyeWnWdImhM6&qb=x8e9zCC758DMxq4=