큐싱(Qshing) /①

문제 6) 큐싱(Qshing)

답)

 

1. QR코드 통한 금융사기, 큐싱의 개념

• QR 코드와 피싱(Fishing)의 합성어로 QR 코드를 통해 악성 앱을 내려 받도록 유도하는 공격기법

 

2. 큐싱(Qshing)의 매커니즘 및 공격 프로세스

가. 큐싱(Qshing)의 매커니즘

사용자가 사용하는 QR코드를 해커가 변경하여, 사용자가 악성앱을 다운로드 받게 서버에 연결함

 

나. 큐싱(Qshing)의 공격 프로세스

프로세스	사용기술	설명
스팸 문자 발송	피싱(Fishing) URL Shortening Service	QR 코드를 생성하고 피해자(victim)에게 무료, 할인 쿠제공과 함께 악성 링크가 포함된 스팸문자(SMS)를 발송
QR 코드 촬영	카메라, 영상처리	피해자는 스팸 문자의 내용을 확인 후 QR 코드를 스캔하여 해커가 유도한 앱 설치 사이트로 이동
악성 앱 다운 및 설치	앱 설치 관리자	해커가 의도한 사이트에서 출처를 알 수 없는 앱을 다운로드 후 설치
해커명령수신, 정보유출	원격 제어	다양한 원격 제어 도구들을 이용하여 피해자의 디바이스에 있는 정보 등을 유출

 

3. 큐싱(Qshing) 공격의 대응방안

대응방안	대응주체	설명
URL 검증 사이트	국가 및 기업	접속 유도 URL에 대한 검증 사이트 운영으로 사용자에게 사전 검증 정보 제공
SMS 발송 주체 제공	기업	대량 SMS 발송 주체의 경우 발송 주체의 정보를 추가 제공
2차 인증 유도 설치금지	사용지	QR 코드로 이동 후 2차 인증 유도로 추가 정보 필요시 정보 제공 및 설치 금지
디바이스 앱 설정	디바이스 사용자	‘알 수 없는 출처(미인증) 앱 설치’ 기능 설정 및 유지
미 확인 문자 URL 접속 금지	사용자	출처가 불분명한 Site 접속 금지

 

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥