텔레그램 사용자 정책 위반 사칭 피싱 사이트-hvil-telegram(.)org(2025.1.6)

오늘은 텔레그램 사용자 정책 위반 사칭 피싱(Phishing) 사이트 인 hvil-telegram(.)org(2025.1.6) 에 대해 알아보겠습니다.
최근에는 러시아 태생의 니콜라이 두로프(Николай Дуров, Nikolai Durov) 파벨 두로프 형제가 개발하여 2013년 8월에 iOS용으로 처음 출시 현재는 안드로이드,Windows,Windows Phone, 리눅스, macOS, 브라우저까지 지원하는 메신저이며 뭐 보안이 좋다고 하지만 다 허점이 있으며 보안 메신저 들도 한 놈이 사고 치면 다 잡히어져 있습니다.
일단 해당 텔레그램은 딥페이크(Deepfake) 때문에 문제가 되는 메신저입니다.일단 해당 텔레그램을 계정이 사용정책이 위반했다고 피싱 사이트로 유도를 하는 방식을 취하고 있습니다.
해당 피싱 사이트는 최근 전 세계적으로 유행하는 것 같습니다.

탤레그램 피싱 사이트 메인 화면

피싱 내용

[국제발신][텔레그램]사용자 본인인증을 진행해 주세요. 로그인이 곧 만료됩니다. https://
[국외발신] 텔레그램 사용정책 위반에 따라 계정이 비활성화될 예정입니다.
12시간 내로 본인인증을 완료해 주세요. https://
입니다. 일단 PC(컴퓨터)로 접속을 했을 때는 QR 코드를 통해서 접속을 유도하고 
스마트폰 접속을 했을 때는 전화번호를 입력하고 있습니다.
[국제발신] Telegram정책에 따라 탈퇴예정이니 6시간 내 인증을 완료 바랍니다 fhvil-telegram(.) org 
[국제발신] Telegram 정책에 따라 탈퇴예정이니 6시간 내 인증을 완료 바랍니다 fhvil-telegram(.)org

가짜 텔레그램 QR 코드 스캔

일단 먼저 PC(컴퓨터)로 접속을 하면 다음과 같습니다.
Log in to Telegram by QR Code
Open Telegram on your phone
Go to Settings->Devices->Link Desktop Device
Point your phone at this screen to confirm login
Log in by phone Number
한국어로 계속

가짜 피싱 사이트 전화 번호 입력시 인증번호 요구

여기서 한국어로 계속을 선택 시 한국어로 로 변경이 되는 것을 확인할 수가 있습니다.
라고 돼 있으며 스마트폰으로 접속을 시도하면 전화번호 인증을 요구하면 개인적으로 전화번호 입력을 해보았는데 인증문자의 인증문자는 도착하지 않았습니다. 아마도…. 전화번호 수집이 목적이 아닐까 생각을 합니다.
그리고 QR 코드를 스캔하라고 해서 온라인에서 QR 코드 이미지를 읽어 들이면 다음과 같은 주소를 확보할 수가 있습니다.

redirect.js 에 포함된 코드

const { pathname, hostname, href } = window.location;

if (pathname.startsWith('/z')) {
  window.location.href = href.replace('/z', '/a');
}

if (
  (hostname === 'weba(.)telegram.org' || hostname === 'webz.telegram(.)org') && !localStorage.getItem('tt-global-state')
) {
  window.location.href = 'hxxps://web(.)telegram(.)org/a';
}

일단 개인적으로 텔레그램을 사용하지 않아서 정확한 전화번호를 입력 시 어떻게 동작을 하는지 모르겠지만 일단 사견으로 전화번호 탈취 및 인증 번호 탈취 쪽으로 생각하면 일단 해당 사이트는 만들어 가장 최근에 만들어졌는지 아직은 탐지하는 보안 업체들은 바이러스토털에서 찾을 수가 없었지만

노턴 Safe Web 주의 등급

노턴 SafeWeb에서는 주위 등급으로 표시되고 있으며 일단 혹시 모르니 Emsisoft Browser Security 에는 신고를 해두었습니다.
일단 이런 문자를 받으며 그냥 쿨하고 섹시하게 무시하는 것을 매우 권장합니다.