전송 버튼에는 Paypal.com 링크가 걸려 있지만 클릭하면 사용자 입력 데이터가 공격자 사이트와 페이팔 사이트 두군데로 전송되는 신종 피싱 공격 기법이 발견되었다. 영국 보안블로그 마이온라인시큐리티 운영자는 6월 12일 자신이 받은 피싱 메일을 공개했다. 운영자는 이메일 본문에 포함된 링크를 확인하는 것만으로는 피싱 공격을 방지할 수 없다고 강조했다.
운영자는 6월 12일 페이팔을 가장한 피싱 메일을 받았다. 귀하의 페이팔 계정에 대하여 의심스러운 신용카드 청구가 발생했으니 첨부 파일을 열어 계정을 확인하고 정확한 정보를 입력해 달라는 내용이다 여기까지는 전형적인 페이팔 피싱 메일과 전혀 다를 바가 없었다.
운영자는 웹브라우저로 첨부파일을 열고 전송 버튼 링크를 확인했다. 버튼은 진짜 페이팔 사이트(이스라엘) 링크가 걸려 있었다.
피싱을 하려면 가짜 사이트로 전송해야 하는데 왜 진짜 사이트로 전송하는 걸까? 이상하게 생각한 운영자는 해당 HTML 코드를 분석하고 나서야 그 이유를 알 수 있었다. CSS와 JS 파일에서 페이팔이 아닌 다른 사이트 URL이 링크되어 있었다.
HTML 첨부파일을 열면 즉시 자바스크립트가 실행되어 사용자가 데이터 입력 후 제출 버튼을 클릭하면 데이터는 실제 페이팔 페이지로 전송되지만 동시에 피싱 URL로도 전송되도록 하는 트릭이었다. 기존의 바이러스 백신이나 툴바, 피싱 필터도 이 공격을 탐지하지 못했다. 버튼에 링크된 URL은 합법적인 페이팔 사이트로 사용자는 의심하지 않으며, 링크된 자바스크립트 파일을 확인하지 않는 한 전송 데이터가 공격자에게 전송된다는 걸 알 방도가 없다.
이 경우 “egypt-trips 닷 co”라는 도메인이 사용되어 눈에 잘 띄었지만, PayPal.com과 비슷한 URL 예를 들어 NewPayPal.com 을 사용했다면 전문가도 속을 수 있었을 거라고 운영자는 말했다. 운영자는 보안 전문가들은 이메일 본문에 포함된 링크는 반드시 합법적인 URL인지 확인할 것을 권하고 있지만, 이 방법이 100% 안전을 보장하는 것은 아니며 따라서 이메일에 포함된 링크는 (본문이든 첨부파일이든) 절대 클릭하지 않는 것이 중요하다고 강조했다.