해커도 피싱 서비스 플랫폼에 가입할 수 있다. 다시 말해, 해커들이 피싱 계획을 실행할 수 있는 피싱 서비스 소프트웨어 패키지를 제공하는 업체가 있다는 것이다. 보안 연구 업체 카탈리스트의 보고서에 따르면, 루시드(Lucid)라는 새로운 피싱 서비스가 현재 아이폰을 대상으로 서비스되고 있다.

루시드의 경우, 애플의 아이메시지로 전송된 피싱 메시지까지 다루는 것이 문제다. 애플의 아이메시지는 엔드투엔드 암호화를 사용하기 때문에 스팸 필터를 우회한다. 그러나 루시드는 안드로이드 기기에 대한 공격을 가능하게 하는 암호화된 RCS를 통해 메시지를 전송한다. 애플은 향후 iOS 업데이트를 통해 암호화된 RCS를 지원할 것을 발표했다.

아이메시지를 통해 피싱 메시지를 보내는 아이폰 팜까지 있다. 보고서에 따르면, 루시드 사업체인 신신(XinXin)은 “가짜 표시 이름이 있는 임시 애플 아이디”를 사용해 매일 10만 건 이상의 메시지를 보낼 수 있다고 주장한다. 루시드는 공격자가 합법적인 웹사이트와 메시지를 만드는 템플릿인 PhAAS 패키지를 판매한다. 피싱 메시지는 미납된 통행료, 배송료 또는 세금을 지불하라는 내용의 링크를 보내 사용자를 미국 우편 서비스처럼 가장한 가짜 웹사이트로 유도한다.

catalyst

일부 아이폰 사용자는 애플의 조치가 있으니 안심하겠지만, 카탈리스트는 해커가 이 안정감을 이용하고 있다고 지적했다. 루시드는 “운영 비용 효율성을 높이는” 성공률을 자랑하고 있기 때문이다.

해커의 공격을 방어하는 방법

문자 메시지는 편리하지만, 공격에 취약할 수 있다. 가능하면 문자 메시지에 링크를 사용하지 말자. 꼭 링크를 사용해야 하는 경우, 항상 URL이 합법적인지 확인하라. 공격자는 합법적인 도메인처럼 위장한다. 메시지가 잘못 작성되었거나 오타, 철자 오류, 문법 오류가 있다면 의심해야 한다. 애플은 OS 업데이트를 통해 보안 패치를 릴리즈하므로, 가능한 한 빨리 설치하는 것이 중요하다.
dl-itworldkorea@foundryco.com