북한 해킹 조직 김수키(Kimsuky)에서 만든 연세 대학교 피싱 사이트-drive yonsei ackr(2024.9.10)

오늘은 연세 대학교 대학생들을 노리는 것으로 추측되는 북한에서 만든 피싱 사이트에 대해 글을 적어 보겠습니다.
연세대학교는 1885년 설립된 광혜원(제중원) 과 1915년 설립된 조선기독교대학에 연원을 두고 있으며 조선기독교대학을 모체로 하는 연희전문학교는 1946년에 연희대학교로 승격 광혜원을 모체로 하는 세브란스의학전문학교는 1947년에 세브란스의과대학으로 승격 1957년에 연희대학교와 세브란스의과대학이 통합하여 연세대학교가 된 대학교인 연세대 대학생을 공격하는 피싱 사이트 에 대해 글을 적어 보겠습니다.

피싱 사이트

hxxps://drive-yonsei-ac-kr(.)bit-albania(.)com/kelley/chrome/continue(.)php

김수키 연세대학교

일단 보면 주소를 보면 피싱 사이트는 정말 쓸데없게 구성이 돼 있는 것을 확인할 수가 있습니다. 사이트에 접속을 해보면 정말 쓸데없는 하게 만든 것을 확인할 수가 있습니다. 마치 구글 크롬 브라우저에서 접속하는 것처럼 보이지만 실제로는 다를 것을 확인할 수가 있으며 그리고 구글 크롬에서 있는 브라우저 주소는 다음과 같습니다.

hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120960(0)&co
ntinue=hxxps://accounts(.)google(.)com/ManageAccount&followup=hxxps://
accounts(.)google(.)com/ManageAccount&flowName=GlifWebSignI(n)&flowEnt
ry=AddSessio(n)&ci
d=0&navigat(i)onDirection=forward

인 것을 확인할 수가 있습니다.
피싱 사이트 웹 소스는 다음과 같습니다.

피싱 사이트 웹소스

피싱 사이트 웹소스

<div id="row-secure">
				<img src="imag(e)s/secure.png" align="center"></(i)mg>							
				<input id="input_ur(l)" class="input-bo(r)der" spe(l)lcheck="false" 
                value="hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120(9)
                600&continue=hxxps://accounts(.)google(.)com/ManageAccount&followup=
                hxxps://accounts(.)google(.)com/ManageAc(c)ount&flowName=GlifWe(b)Si
                gnIn&flowEntry=AddSession(&)cid=0&navigat(i)onDirection=forward" >				
			</div>
			</td>
			
			</tr>
			</table>
		</div>
		<div id="main-body" style="overflow: hidden;">
			<iframe id="main-wnd" src="hxxps://protected-onlinestorage(.)store/RRW
            Y(R)hbWNdhGhj/:5e" frameborder=0  style="overflow: hidden;width:100%;h
            eight:100%;">
			</iframe>
		</div>

	</div>

으로 구성이 되어져 있는 것을 확인할 수가 있으며 해당 코드를 분석하면 다음과 같습니다.
해당 코드는 사용자로 하여금 피싱 페이지에 접속하게 유도 
1.코드 내용 분석:
img sr(c)="images/secure(.)png:
secure.png 이미지를 로드하여 사용자가 사용자 가 페이지가 안전하다고 믿도록 유도 
<input id="input_url:해당 입력 필드에는 Google 로그인 URL이 하드코딩되어 있음
주소 은 Google 계정 로그인 페이지처럼 보이게 설계
사용자의 비밀번호나 다른 정보를 수집하기 위한 목적으로 조작된 페이지로 연결
<iframe>:해당 부분은 다른 외부 페이지를 iframe을 통해 불러오며 해당 경우 hxxps://protected(-)onlinestorage(.)store/RRWY(R)hbWNdhGhj/:5e
라는 URL을 사용
사용자가 로그인 정보를 입력할 때 가로챔
2.피싱 위험 요소:
사용자는 해당 연세대 피싱 페이지를 정상적인 Google 로그인 페이지로 착각하게 함
iframe 은 가짜 구글 로그인 페이지나 피싱 페이지를 로드
결론 최근 전국 대학교 등으로 속이는 피싱 사이트 개설해서 피싱 하고 있음
주의가 필요함. 그리고 혹시 파밍(Pharming)이 되고 있을 때 대비 호스트 파일 건들지 말고 기본적으로 백신 프로그램(안티 바이러스 프로그램)을 설치 및 최신 업데이트 및 실시간 감시를 유지하고 그리고 그리고 저런 짓을 하려면 이메일 또는 문자로 갔을 것인데 한 번쯤 생각을 해 보는 것도
 왜~저런 메일이나 문자가 왔고 왜 이상하게 이름이 이상할까? 그리고 대학교 관계자 분들 또는 해당 글을 보시는 경찰관 분들은 한번 대학교 교수, 대학교 직원, 학생들을 상대로 최근 이런 공격도 있으니 예방 교육을 하시길 권장하겠습니다.
지난 고려대학교, 덕성여대 등 피싱 사이트 보니 당한 분들이 한두 명이 아니라서 그리고 본인들 학교 주소는 브라우저에 북마크 하고 제발 스마트폰도 백신 앱 좀 설치하고 사용을 하시고 나는 애플인데 하시는 분들도 있는 피싱은 다 똑같이 작동합니다.