ITPE * JackerLab

개요Browser-in-the-Browser(이하 BitB) 피싱은 웹 브라우저 내부에 실제처럼 보이는 가짜 브라우저 창을 생성해 사용자를 속이는 시각적 피싱 공격 기법입니다. 이 방식은 SSO(Single Sign-On) 또는 OAuth 로그인 인터페이스를 모방하여 사용자가 무심코 자격 증명을 입력하게 만듭니다. 본 글에서는 BitB 피싱의 작동 방식, 특징, 사례, 보안 위협 및 효과적인 대응 방안을 상세히 살펴봅니다.1. 개념 및 정의BitB 피싱은 자바스크립트, CSS, HTML을 활용해 웹사이트 내에 브라우저 팝업처럼 보이는 UI를 구성하고, 이를 통해 사용자의 로그인 정보를 탈취하는 공격입니다. 실제 브라우저 팝업처럼 동작하고 드래그 이동, 주소창, 자물쇠 아이콘까지 흉내낼 수 있어 사용자가 ..

개요MFA(Multi-Factor Authentication, 다중 인증)는 사용자 계정을 보호하는 효과적인 수단이지만, 최근 공격자들은 이를 우회하기 위한 MFA Fatigue Attack(다중 인증 피로 공격) 기법을 활용하고 있습니다. 사용자가 무차별 푸시 알림에 지쳐 실수로 인증을 수락하게 만드는 이 공격은 특히 푸시 기반 MFA 방식에서 자주 발생합니다. 본 글에서는 MFA 피로 공격의 개념, 사례, 대응 전략 및 보안 권장사항에 대해 자세히 설명합니다.1. 개념 및 정의MFA Fatigue Attack은 공격자가 탈취한 사용자 계정에 대해 반복적으로 MFA 요청을 보내, 사용자가 알림에 지치거나 실수로 승인하게 만드는 소셜 엔지니어링 기반 공격입니다. 특히 푸시 알림 기반 인증 방식에서 취약하..