/Yahoo의피슁방지대책-PersonalizedSign-inSeals

"OpenID"로 검색해서 나오는 이 글 저 글 읽어보던 와중에 [OpenID 그리고 Phishing]라는 글을 보게 되었는데, 여기 언급된 Yahoo!의 personalized sign-in seals[1]라는 걸 봤습니다. 언제부터 제공된 건지는 모르겠습니다만.

이베이나 페이팔 등 돈이 오가는 유명 사이트를 사칭해서, 이메일 같은 데다가 "네 계정이 문제가 생겼어" 등의 말로 현혹해서 자기네가 만들어둔 가짜 사이트에 들어와서 아이디와 암호를 넣게 유도해서 정보를 빼가는 걸 피슁(Phishing)이라고 합니다. 말 그대로 낚시 Fishing에서 왔다고 하네요. 모기불통신에 가서 "피슁"으로 검색하면 기불이님이 받은 여러 통의 메일을 구경할 수 있지요. ([2] 등) 뭐 이런 류의 메일은 거의 다 영어로 쓰여 있어서 한국에 살면 낚일 일이 드뭅니다만. :-)

야후의 예를 들자면 사기꾼이 자기 서버에 야후의 로긴화면과 동일한 화면을 만들고, 메일에 그 가짜 야후의 링크를 걸어서 들어오게 하겠죠. 그럼 이용자 입장에서 이게 진짜 야후인지 아닌지는... (물론 URL을 잘 봐도 알 수 있지만) 이 seal이라는 걸 만들어서 진짜 야후 화면에 붙여 두는 겁니다. 나중에 또 야후에 들어갔는데 저 도장이 찍혀 있으면 진짜이고, 아니면 가짜인 거죠.

[1]에 가셔서,

• 우측 상단의 "Start Now"를 누르고
• "Create a text seal..."을 선택한 후 원하는 글자를 입력하던가 (칸이 3개인데 각각 7글자까지 가능. 한글은 많이 쓰면 너무 작게 보이더군요)
• "Upload an image..."를 선택해서 그림을 업로드 한 후에
• 글자로 도장을 팔 건지 아니면 자기에게 있는 그림파일을 사용할 건지를 정한 후
• (이 때 아래 Your sign-in seal color를 눌러서 배경색도 정해주고)
• Preview 버튼을 누르면 도장의 모양을 미리 볼 수 있고

(미리보기 - 한글은 영 안 예쁘군요. 영문은 봐줄만 함)

• Save This Seal, OK를 차례로 누르면 저장이 되어서

이제부터는 로그인을 할 때 위와 같이 도장이 보입니다.

이 도장은 자기의 야후 아이디와는 무관하게 (아이디에 따라 결정된다면, 낚시꾼들이 저것마저 흉내낼 여지가 있겠죠), 내가 사용하는 컴퓨터에 따라 달라진답니다. 따라서

• 자기가 주로 사용하는 컴퓨터가 여러개라면 (직장과 집 등) 각각 도장을 만들어줘야 하고,
• 반대로 한 컴퓨터에서 여러 명(가족 등)이 같이 쓴다면 모두가 이 도장에 대해 알 수 있도록 하라고 하네요. (좀 전에 테스트해보니, 윈도우즈XP에서 다른 사용자로 들어갈 경우는 도장이 뜨지 않는 걸로 봐서 사용자ID마다 별개로 만들 수 있는 듯)

아이디어도 재미있고, 도장 만드는 것도 재미있습니다. :-) 저런 방법을 쓰는 사이트가 늘어나면 이 도장 저 도장 만드느라 귀찮을 듯도 합니다만, 괜히 낚시질에 걸려서 낭패 보는 것 보다는 낫겠죠.

뭐 제 경우는, 일단 야후에는 아이디가 있긴 있었나 싶을 정도로 로그인한 적이 드물어서 그다지 효용이 없는 상태이고... 게다가 도장을 만든 상태에서 야후 코리아의 로그인 화면[3]에 갔더니만 자바 스크립트 등이 꼬이는지 글꼴이나 배치가 좀 엉망으로 나오더군요. (지금 상태에서도 "아이디찾기" 등의 글씨가 크게 나와서 이상하고... 저 도장에 마우스를 가져가면 도장이 뭔지 설명하는 링크와 도장을 변경할 수 있는 링크 등이 뜨는데, 그 때 화면이 와르르 뭉개집니다... 오히려 피슁 사이트처럼 느껴진달까)

Comments & Trackbacks

이름:  

Homepage:

내용: