사이트 로그인 시 타 사이트의 계정을 통해 접속이 가능한 싱글사인온(SSO) 기능을 제공하는 것처럼 위장해 페이스북 계정을 탈취하는 수법이 악용되고 있다는 주장이 나왔다.
미국 IT 매체 아스테크니카는 비밀번호 관리 앱 '마이키' 연구원들이 이같은 수법을 도입한 사이트를 발견했다고 16일(현지시간) 보도했다.
해당 사이트는 페이스북 SSO 기능과 사용자 인터페이스(UI)를 흡사하게 구축해놨다. 그러나 로그인을 시도해도 페이스북 API와 상호작용하지 않고, 입력된 계정과 비밀번호가 해커에게 전송된다.
연구원들은 페이스북 사용자에게 SSO 팝업 창을 열려 있는 사이트 밖으로 드래그해 해킹 여부를 확인할 수 있다고 조언했다. 팝업 창이 사이트 외부로 이동되지 않을 경우 위조된 페이지라는 설명이다.
관련기사
- "페이스북, 블록체인 스타트업 인수"2019.02.18
- 페이스북 또 웃다…월 이용자 23억명 돌파2019.02.18
- 전화번호 알면 카톡 ID·삭제프로필 사진 나온다2019.02.18
- 펜타시큐리티, SSO솔루션 FIDO2 인증 획득2019.02.18
