Cago_Note

크리덴셜 스터핑(Credential Stuffing)  개요크리덴셜 스터핑(Credential Stuffing)은 해커가 유출된 사용자명-비밀번호 조합을 사용하여 여러 웹사이트에 로그인 시도를 자동화하는 공격입니다. 이는 사용자들이 여러 플랫폼에서 동일한 비밀번호를 사용하는 습관을 악용합니다. 공격 방법데이터 수집: 유출된 사용자 정보는 보통 대규모 데이터 유출 사고를 통해 얻습니다. 이러한 정보에는 사용자명, 비밀번호, 이메일 주소 등이 포함됩니다. 해당 개인정보를 해커는 다크 웹에서 이러한 데이터를 구매하거나 무료로 배포된 정보를 수집합니다.피싱 공격: 사용자를 속여 민감한 정보를 입력하게 만드는 공격.악성 소프트웨어: 키로거, 트로이 목마 등을 통해 정보를 수집.소셜 엔지니어링: 신뢰를 구축하여 정..

몸캠 피싱 관련 정리를 하고 싶어서 정보를 찾다가 몸캠피싱 피해자 모임이라는 사이트에서 cloud1one이라는 도메인을 가지는 피싱 사이트를 발견했습니다.  몸캠피싱몸캠피싱 피해과정은 SNS로 친구요청이나 데이팅 앱 등 친밀감을 쌓고 음란채팅으로 유도하여 피해자의 신체사진 및 영상 등을 확보하고 채팅 중에 음성이 안 들린다 또는 비밀성을 강조하며 악성 앱(음성 채팅, 갤러리, 클라우드, 보안) 설치 유도를 해서 모바일에 저장된 주소록(연락처) 정보를 빼거나 SNS를 통해 피해자의 지인에게 연락 가능한 정보를 수집한다. 수집한 정보를 이용하여 유포한다며 협박을 해서 금전을 요구하는 형태이다.  피해과정채팅 앱 및 SNS -> 친밀감 형성 -> 피해자 욕구 충족(기프티콘, 금전, 성욕 등) -> 영상 및 사..

불법스팸, 스미싱등 대량 문자 서비스를 막기 위해 이번에 KISA에서 '자격인증제'등을 도입하는 것 같다. 6월부터 '자격 인증제'를 실시하게 된다고 한다. 또한 다른 제도를 통해 스팸, 스미싱등 억제를 하겠다는 거 같다.국내 발신 같은 경우는 정부와 기업등 협의를 해서 차단이나, 규제등의 조치로 억제할 수 있을 것으로 생각된다. 해외에서 발신한 경우는 아직까진 각 부처별 협의와 국제 공조가 필하다고 한다.참고 기사 : https://www.boannews.com/media/view.asp?idx=130219 민폐 스미싱 그만! 대량문자 발송 사업자 규제 위한 ‘자격인증제’ 6월부터 시행최근 본지가 보도한 개인정보위원회를 사칭한 스미싱 문자부터 행정안전부, 국세청 등 공공기관, 택배, 부고 등 각종 스팸..