오늘은 연세 대학교 대학생들을 노리는 것으로 추측되는 북한에서 만든 피싱 사이트에 대해 글을 적어 보겠습니다.
연세대학교는 1885년 설립된 광혜원(제중원) 과 1915년 설립된 조선기독교대학에 연원을 두고 있으며 조선기독교대학을 모체로 하는 연희전문학교는 1946년에 연희대학교로 승격 광혜원을 모체로 하는 세브란스의학전문학교는 1947년에 세브란스의과대학으로 승격 1957년에 연희대학교와 세브란스의과대학이 통합하여 연세대학교가 된 대학교인 연세대 대학생을 공격하는 피싱 사이트 에 대해 글을 적어 보겠습니다.
피싱 사이트
hxxps://drive-yonsei-ac-kr(.)bit-albania(.)com/kelley/chrome/continue(.)php
일단 보면 주소를 보면 피싱 사이트는 정말 쓸데없게 구성이 돼 있는 것을 확인할 수가 있습니다. 사이트에 접속을 해보면 정말 쓸데없는 하게 만든 것을 확인할 수가 있습니다. 마치 구글 크롬 브라우저에서 접속하는 것처럼 보이지만 실제로는 다를 것을 확인할 수가 있으며 그리고 구글 크롬에서 있는 브라우저 주소는 다음과 같습니다.
hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120960(0)&co
ntinue=hxxps://accounts(.)google(.)com/ManageAccount&followup=hxxps://
accounts(.)google(.)com/ManageAccount&flowName=GlifWebSignI(n)&flowEnt
ry=AddSessio(n)&ci
d=0&navigat(i)onDirection=forward인 것을 확인할 수가 있습니다.
피싱 사이트 웹 소스는 다음과 같습니다.
피싱 사이트 웹소스
<div id="row-secure">
<img src="imag(e)s/secure.png" align="center"></(i)mg>
<input id="input_ur(l)" class="input-bo(r)der" spe(l)lcheck="false"
value="hxxps://accounts(.)google(.)com/signin/v2/sl/pwd?passive=120(9)
600&continue=hxxps://accounts(.)google(.)com/ManageAccount&followup=
hxxps://accounts(.)google(.)com/ManageAc(c)ount&flowName=GlifWe(b)Si
gnIn&flowEntry=AddSession(&)cid=0&navigat(i)onDirection=forward" >
</div>
</td>
</tr>
</table>
</div>
<div id="main-body" style="overflow: hidden;">
<iframe id="main-wnd" src="hxxps://protected-onlinestorage(.)store/RRW
Y(R)hbWNdhGhj/:5e" frameborder=0 style="overflow: hidden;width:100%;h
eight:100%;">
</iframe>
</div>
</div>으로 구성이 되어져 있는 것을 확인할 수가 있으며 해당 코드를 분석하면 다음과 같습니다.
해당 코드는 사용자로 하여금 피싱 페이지에 접속하게 유도
1.코드 내용 분석:
img sr(c)="images/secure(.)png:
secure.png 이미지를 로드하여 사용자가 사용자 가 페이지가 안전하다고 믿도록 유도
<input id="input_url:해당 입력 필드에는 Google 로그인 URL이 하드코딩되어 있음
주소 은 Google 계정 로그인 페이지처럼 보이게 설계
사용자의 비밀번호나 다른 정보를 수집하기 위한 목적으로 조작된 페이지로 연결
<iframe>:해당 부분은 다른 외부 페이지를 iframe을 통해 불러오며 해당 경우 hxxps://protected(-)onlinestorage(.)store/RRWY(R)hbWNdhGhj/:5e
라는 URL을 사용
사용자가 로그인 정보를 입력할 때 가로챔
2.피싱 위험 요소:
사용자는 해당 연세대 피싱 페이지를 정상적인 Google 로그인 페이지로 착각하게 함
iframe 은 가짜 구글 로그인 페이지나 피싱 페이지를 로드
결론 최근 전국 대학교 등으로 속이는 피싱 사이트 개설해서 피싱 하고 있음
주의가 필요함. 그리고 혹시 파밍(Pharming)이 되고 있을 때 대비 호스트 파일 건들지 말고 기본적으로 백신 프로그램(안티 바이러스 프로그램)을 설치 및 최신 업데이트 및 실시간 감시를 유지하고 그리고 그리고 저런 짓을 하려면 이메일 또는 문자로 갔을 것인데 한 번쯤 생각을 해 보는 것도
왜~저런 메일이나 문자가 왔고 왜 이상하게 이름이 이상할까? 그리고 대학교 관계자 분들 또는 해당 글을 보시는 경찰관 분들은 한번 대학교 교수, 대학교 직원, 학생들을 상대로 최근 이런 공격도 있으니 예방 교육을 하시길 권장하겠습니다.
지난 고려대학교, 덕성여대 등 피싱 사이트 보니 당한 분들이 한두 명이 아니라서 그리고 본인들 학교 주소는 브라우저에 북마크 하고 제발 스마트폰도 백신 앱 좀 설치하고 사용을 하시고 나는 애플인데 하시는 분들도 있는 피싱은 다 똑같이 작동합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 텔레그램 사용자 정책 위반 사칭 피싱 사이트-telegram(-)ck(.)org(2024.9.21) (0) | 2024.09.23 |
|---|---|
| 독일 법 집행 기관 토르 브라우저(Tor)서버 모니터링 성공 (0) | 2024.09.20 |
| 김수키(Kimsuky)암호화폐 거래소 업비트 사칭 악성코드-Upbit_20240916 docx lnk(2024.9.17) (0) | 2024.09.20 |
| 윈도우 11 24H2 기능 업데이트 출시일 발표 (0) | 2024.09.19 |
| 게임 링크 단축 및 수익 창출 LootLabs 으로 위장한것으로 추정 되는 김수키(Kimsuky) 악성코드-Twitch x Loot Lab Event-2025.msc(2024.9.9) (0) | 2024.09.13 |
| 윈도우 11 KB5043076,윈도우 10 KB5043064 마이크로소프트 오피스 등 보안 업데이트 (0) | 2024.09.12 |
| 김수키(Kimsuky) 에서 만든 악성코드-Terms and conditions(이용 약관).msc(2024.9.6) (0) | 2024.09.10 |
| 부고 알림으로 위장 하고 있는 피싱 사이트-u2(.)to/F4bhfOj(2024.9.6) (0) | 2024.09.10 |
