동아리 활동 관련하여 공학제에 체험활동을 진행하기 위하여 BITB 를 이용하여 피싱사이트를 제작했다
피싱사이트를 제작하고 이용자의 입력값을 메모장으로 가져와 수집하는 작업도 추가했다
"BitB (Browser in the Browser)" 공격은 최근에 등장한 피싱 기법 중 하나로,
사용자가 진짜로 보이는 가짜 로그인 창을 통해 자신의 로그인 정보를 입력하도록 속이는 방법이다
이 공격은 피싱 사이트가 아닌 것처럼 보이게 하여 사용자를 속이는데,
공격자는 가짜의 웹 브라우저 창을 생성하여 실제 서비스의 로그인 페이지처럼 보이게 한다
위와 같이 BITB 관련하여 github에서 기초적인 파일을 다운받았다
MacOS와 Window 2가지로 나뉘며 Light, Dark 모드가 있다
피싱사이트의 대상은 tistory로 정하였고 위와 같이 피싱사이트를 만들었다
백엔드는 php를 사용하였다
체험활동할 때에는 192.168...인 ip 주소도 변경할 예정이고 로그인 페이지의 경로도 그대로 복사해서 가져왔다
실제 티스토리 사이트에서는 위와 같이 작은 창이 뜨지 않고 새로운 로그인 페이지로 이동한다
하지만 BITB 공격을 위하여 작은 창이 뜨도록 했고 카카오계정, 티스토리계정, URL 까지 그대로 복사했다
BITB는 Browser in the Browser의 약자이다
그렇기 때문에 새로운 창을 띄우도록 한 뒤 사용자를 속이기 위해 실제 페이지의 url을 복사하여 붙여넣을 수 있다
단순히 url만 보고 피싱 사이트를 구분하려고 한다면 자신의 개인정보가 해커에게 넘어가게 된다
이유는 실제 페이지의 url을 그대로 가져와 사용 하였기 때문에 url은 실제 경로와 같다
BITB 같은 경우, 새로 생성된 가짜 브라우저는 진짜 브라우저 밖으로 나가지 못한다
카카오계정으로 위와 같이 실험용 데이터를 입력하고 로그인했다
이번체험은 체험대상자에게 피싱사이트라는 것을 알려주고 시작하는 체험이기에
로그인 이후에 따로 이동하는 페이지는 만들지 않았다
그래서 로그인을 하면 위와 같이 투명한 화면이 나타난다
내가 지정한 경로에 입력한 이메일과 비밀번호가 정상적으로 수집되었다
체험진행 후기
BITB를 이용한 피싱사이트 체험하기 활동은 정상적으로 진행되었다
참여자 분께 피싱사이트라는것을 알려주고 수상한 부분을 찾아보라고 하였다
대부분 수상하다고 생각되는 부분이 없다고 말하셨다
체험자분의 반대쪽에서 로그인을 진행하라고 한 뒤 로그인이 완료되면 information.txt에 추가된 내용을 보여줬다
체험자분이 입력한 내용과 같았고 이런 체험을 진행하게 해줘서 고맙다는 이야기를 들었다
ps. 실제 자신의 계정을 입력하신 분이 있어서 좀 당황했다... :) !!!
'Projects > 동아리 활동' 카테고리의 다른 글
| [학교 동아리] 동아리 홈페이지 5 (0) | 2024.06.27 |
|---|---|
| [학교 동아리] 동아리 홈페이지 4 (0) | 2024.06.27 |
| [학교 동아리] 동아리 홈페이지 3 (0) | 2024.06.25 |
| [학교 동아리] 동아리 홈페이지 2 (0) | 2024.06.23 |
| [학교 동아리] 동아리 홈페이지 1 (0) | 2024.06.02 |
