도메인 스푸핑

Domain Spoofing이란?

Domain spoofing is a cyberattack technology where attackers impersonate a 합법적인 도메인을 속으로 사용자, 우회 보안 시스템, 또는 얻은 무단 액세스. 이 이메일 헤더를 위조하거나, 도메인을 등록하거나 트래픽을 리디렉션하기 위해 DNS 취약점을 악화 할 수 있습니다.

도메인 Spoofing의 유형

이메일 Spoofing

신뢰할 수있는 도메인에서 나타나는 이메일의 "From" 주소를 위조 :

Legitimate:
  From: support@paypal.com
  Actual sender: PayPal's mail servers

Spoofed:
  From: support@paypal.com
  Actual sender: attacker's server
  Without SPF/DKIM/DMARC, appears legitimate

표시 이름 Spoofing

다른 이메일을 사용하여 보낸 사람의 표시 이름을 Manipulating:

Display: CEO John Smith <john.smith@company.com>
Actual email: attackercontrol@malicious.com
Many email clients show only display name prominently

Lookalike 도메인 스푸핑

합법적인 것을 닮은 도메인 등록:

Legitimate: paypal.com
Lookalikes:
  paypa1.com (1 instead of l)
  paypal-secure.com (added word)
  paypai.com (typo)
  paypаl.com (Cyrillic 'а' instead of Latin 'a')

DNS 스푸핑 (Cache Poisoning)

트래픽을 리디렉션하기 위해 DNS 캐시를 수정 :

User types: bank.com
DNS poisoned: Returns attacker's IP instead of real bank
User arrives at: Fake bank.com (phishing site)
User thinks: They're on real site (URL shows bank.com)

Caller ID 스푸핑 (VoIP)

가짜 전화 번호 표시 ( 도메인과 관련이없는 개념).

이메일 Spoofing 작품

SMTP 의정서 간격

SMTP (이메일 프로토콜)는 내장 sender 검증이 없습니다.

SMTP Conversation:
Client: HELO attacker.com
Server: 250 Hello
Client: MAIL FROM: <ceo@victimcompany.com>
Server: 250 OK (accepts without verification)
Client: RCPT TO: <employee@victimcompany.com>
Server: 250 OK
Client: DATA
From: ceo@victimcompany.com
Subject: Urgent wire transfer needed
→ Server delivers it

SMTP의 아무것도 보낸 사람이 실제로 victimcompany.com를 제어합니다.

머리 manipulation

기본 필터를 우회하는 Attackers 기술 헤더:

From: "CEO John Smith" <ceo@legitimate.com>
Reply-To: attacker@malicious.com

User sees trusted sender
Replies go to attacker

현실 세계 Spoofing Attack Scenarios

비즈니스 이메일 준수 (BEC)

1. Attacker researches company structure
2. Spoofs CEO's email to CFO
3. "Urgent wire transfer needed for acquisition"
4. CFO transfers funds thinking it's legitimate
5. Company loses millions

Phishing 캠페인

1. Spoof bank or tech company domain
2. Send emails about "suspicious activity"
3. Link goes to lookalike domain
4. User enters credentials on fake site
5. Attacker steals credentials

송장 사기

1. Attacker spoofs supplier's domain
2. Sends updated invoice with attacker's bank details
3. Victim pays attacker instead of real supplier
4. Legitimate supplier never receives payment

악성 코드 배포

1. Spoof trusted software company
2. Email with "critical security update"
3. Attachment contains malware
4. User trusts "legitimate" sender and opens it

검색 영역 Spoofing

이메일 헤더 분석

inconsistencies를 위한 Examine 가득 차있는 우두머리:

From: support@paypal.com
Return-Path: <random@suspicious.com>  ← Red flag
Received: from unknown.net [1.2.3.4]  ← Not PayPal's servers

Real email would have:
Received: from mx.paypal.com [verified PayPal IP]
Return-Path: <support@paypal.com>

SPF/DKIM/DMARC의 특징 기타

Authentication-Results: recipient.com;
  spf=fail smtp.mailfrom=paypal.com  ← Spoofed
  dkim=none                           ← Not signed
  dmarc=fail                          ← Failed policy

Legitimate PayPal 이메일은 모든 체크를 통과합니다.

비주얼 검사

미묘한 차이를 찾습니다:

Real: paypal.com
Fake: paypal-secure.com (extra word)
Fake: paypαl.com (Cyrillic character)
Fake: paypal.co (missing 'm')

# # # # Behavioral Anomalies # # # # # # # # Behavioral Anomalies # # # # # # # # # # Behavioral Anomalies # # # # # # # # # # # # # # # # # # # # Behavioral Anomalies # # # # # # # # # # # # # # Behavioral Anomalies # # # # # # # # # # # # # # # # # # # # # Behavioral Anomalies # # # # # # # # # # # # # #

• 긴급한 언어 ("Act now!", "전신 송금 즉시")
• Unusual 요청 ( 기프트 카드 요청)
• Grammar/spelling 오류
• 결제 정보 변경
• unfamiliar 도메인 링크

도메인 Spoofing 방지

이메일 인증(Critical) 구현

example.com.    IN    TXT    "v=spf1 include:_spf.google.com -all"

Authorizes which servers can send for your domain

Cryptographically signs outgoing emails
Receivers verify signature using DNS public key
Tampered emails fail verification

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Tells receivers to reject emails that fail SPF/DKIM
Provides reports on spoofing attempts

p=none       Monitor only (start here)
p=quarantine Send failures to spam
p=reject     Block failures completely (goal)

도메인 등록

Proactively 등록 lookalike 도메인:

Primary: company.com

Register:
Common typos: conpany.com, compamy.com
Different TLDs: company.net, company.org, company.co
Hyphenated: com-pany.com, company-inc.com
Plurals: companies.com

다음 것:

• 주요 도메인에 대한 Redirect
• 공지사항
• 법적 목적으로 사용

감시자 상표 Mentions

무단 도메인 등록을 탐지하는 서비스:

• Google Alerts 도메인 등록에 대한 브랜드 이름
• 인증서 투명성 로그 ( SSL 인증서 발급)
• 새로운 등록을 위한 WHOIS 모니터링

• 도메인 도구
• 시프트 by Cloudflare
• 브랜드Shield
• 볼스터

직원 교육

일반 보안 인식 훈련:

• spoofed 이메일 확인 방법
• 대체 채널을 통한 의심스러운 요청 검증
• 예기치 않은 이메일에서 링크를 클릭하지 마십시오
• Sender 도메인 확인
• IT에 의심스러운 이메일을 보고

기술 제어

p=reject (block spoofed email entirely)

• 검색 영역 스캔
• 내부를 보는 깃발 외부 이메일
• Block known-bad 보낸 사람 IPs

[EXTERNAL EMAIL] This email originated outside the organization

배송 전에 이메일에서 URL을 확인하고 위생.

승인 된 전송 방법을 허용 (하나 OFF SMTP 없음).

고급 스푸핑 기술

Homoglyph 공격

다른 알파벳에서 시각적으로 유사한 문자를 사용하여:

Latin 'a' vs Cyrillic 'а' (U+0430)
Latin 'o' vs Cyrillic 'о' (U+043E)

googlе.com (Latin 'e' replaced with Cyrillic 'е')
Looks identical to: google.com

googlе.com → xn--googl-6nd.com (encoded)
Browsers show: ⚠️ xn--googl-6nd.com

Subdomain 스푸핑

다른 도메인과 같은 하위 도메인 만들기:

legitimate-bank.attacker.com
Appears as: legitimate-bank (subdomain of attacker.com)
Users see: "legitimate-bank" and assume it's safe

Man-in-the-Middle 와 DNS Hijacking

1. Attacker compromises DNS server or router
2. Changes bank.com resolution to attacker's IP
3. Serves fake bank site
4. Uses valid SSL cert (from Let's Encrypt, free)
5. User sees https://bank.com with padlock
6. User thinks it's safe, enters credentials

법률 및 규정 준수

Anti-Cybersquatting 소비자 보호 행위 (ACPA)

미국 법은 상표와 유사한 도메인의 등록을 금지합니다.

제복 도메인 이름 분쟁 해결 정책 (UDRP)

상표 분쟁 해결을 위한 ICANN 정책:

• 상표 소유자는 Lookalike 등록을 할 수 있습니다
• 중재 과정 (빠른 / 법원보다 cheaper)

형벌

사기에 대 한 도메인 spoofing 아래 prosecuted:

• 철사 사기 행위 (미국)
• 컴퓨터 사기 및 남용 행위 (미국)
• 다른 관할권의 유사한 법률

Penalties는 벌금과 imprisonment를 포함합니다.

도메인 Spoofing에 대응

도메인이 Spoofed 인 경우

1. p=reject로 DMARC 구현

_dmarc.example.com.    TXT    "v=DMARC1; p=reject; rua=mailto:abuse@example.com"

2. 고객/파트너

- spoofing 캠페인에 대한 알림

- 표시를 제공 (찾은 것)

- 견적 요청

3. 당국에 도착

- FBI IC3 (미국)

- 사이버 범죄 단위

- Anti-Phishing 작업 그룹 (apwg.org)

4. Takedown 요청

- phishing 사이트 호스팅 제공 업체

- 도메인 등록

- Google Safe Browsing 보고서 사용

5. Monitor DMARC 보고서

- spoofing 소스 식별

- 트랙 공격량 및 패턴

Lookalike 도메인을 발견한다면

1. 문항

- 스크린샷

- WHOIS 데이터

- 이메일 headers

2. UDRP 불만 (자세한 상표가 있다면)

3. Registrar 남용 보고서

4. 법적 행동 (중요한 해가 있다면)

방어 테스트

시험 이메일 Spoofing 보호

# Send test spoofed email to yourself
swaks --to employee@yourcompany.com \
      --from ceo@yourcompany.com \
      --server test-smtp-server.com \
      --header "Subject: Test Spoofed Email"

# Check if it's delivered or blocked
# Check authentication results in headers

DMARC 설정 확인

dig _dmarc.example.com TXT

# Should return policy (p=reject ideally)
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

SPF와 DKIM을 검증

# SPF
dig example.com TXT | grep spf

# DKIM (check common selectors)
dig google._domainkey.example.com TXT
dig default._domainkey.example.com TXT

온라인 도구 사용

• MXToolbox 도메인 건강 검사
• dmarcian DMARC 검사기
• Google 관리자 도구 상자 Messageheader
• PhishTank (당신의 도메인이 보고 있는지 확인)

Domain spoofing은 심각한 위협이지만 적절한 이메일 인증, 모니터링 및 사용자 교육을 통해 효과적으로 마이그레이션 할 수 있습니다.