GN⁺: Google이 호스팅하는 악성광고, 진짜처럼 보이는 가짜 Keepass 사이트로 이끔
(arstechnica.com)- Google, 오픈 소스 비밀번호 관리자 Keepass를 정확하게 가장하는 악성 광고를 호스팅한 것으로 밝혀짐
- 광고는 가짜 Keepass 사이트인 ķeepass[.]info로 이어지며, 유효한 TLS 인증서와 실제 Keepass 사이트와 동일하게 보이는 URL 때문에 진짜처럼 보임
- 가짜 사이트는 실제로는 xn--eepass-vbb[.]info의 인코딩 버전으로, FakeBat이라는 악성 소프트웨어 패밀리를 배포함
- 이 사기는 보안 공급업체 Malwarebytes의 위협 정보 팀장인 Jérôme Segura에 의해 밝혀짐
- 광고는 Google이 신원을 확인한 Digital Eagle이라는 조직이 지불함
- 사기 사이트는 punycode라는 인코딩 체계를 사용하여 유니코드 문자를 표준 ASCII 텍스트로 표현함
- 이는 punycode를 활용한 악성 소프트웨어 사기의 첫 사례가 아니며, 과거에는 brave.com과 apple.com과 같은 사이트를 가장하는 데 사용됨
- 악성 Google 광고나 punycode로 인코딩된 URL을 탐지하는 확실한 방법은 없지만, 사용자는 TLS 인증서를 검사하여 주소 표시줄에 표시된 사이트에 속하는지 확인할 수 있음
Hacker News 의견
- 구글 호스팅의 악성 광고가 진짜처럼 보이는 가짜 Keepass 사이트로 이어지는 문제에 대한 기사
- 광고는 구글에서 인증한 광고주인 Digital Eagle에 의해 결제됨
- 구글은 이메일에 대한 응답 부재 및 2년 이상 검색 엔진으로서의 안전성 부재로 비판받음
- 일부 사용자들은 구글의 광고가 클라이언트를 피싱 사이트로 이끌어가기 때문에 특정 도메인을 차단하기로 결정함
- 광고 중개인이 사기 광고에 부분적으로 책임을 지거나 광고가 공격적으로 익명성을 잃어야 할 것이라는 제안이 있음
- 사용자들이 구글 광고를 통해 속이고, 다시 유사 도메인을 통해 속이는 거의 완벽한 속임수 폭풍에 대한 언급이 있는 기사
- Google Chrome 59은 2017년에 Punycode 피싱 공격을 수정했으나, 여전히 결함이 존재할 수 있다는 의혹
- 유튜브에서의 구글의 광고 차단기에 대한 전쟁과 안전한 광고를 보여주는 책임을 믿을 수 없다는 비판이 언급됨
- 기업들이 오해를 불러일으키는 광고와 스팸 전화 발신자와 같은 어려운 상황에서 고객을 알아야 하는 법률을 준수해야 한다는 요구가 있음
- 구글이 사기 광고를 신고 받자마자 즉시 제거한다는 주장이 비판받고, 광고가 공개되기 전에 검토해야 한다는 제안이 있음
- 보안 의식이 높은 개인들조차 가짜 Keepass 사이트를 발견하는 것이 어렵다는 기사
- Punycode의 사용이 의심받고, 주로 스팸 도메인에서 사용된다는 제안이 있음
- 악성 광고를 완화하기 위한 해결책이 제안되었으며, 이는 투명성과 각 광고가 광고주의 법적 연락처를 포함하는 것을 포함함