마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 사칭 스캠 사이트-scriptedspam(.)azurewebsites(.)net(2023.12.04)

오늘은 마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 사칭 스캠 사이트에 대해 글을 적어보겠습니다. 일단 해당 스캠(Scam) 이라고 생각을 하면 쉽게 사용자를 속이는 신용 사기 정도로 이해하시면 됩니다. 그리고 여기서 전화번호가 있으며 해당 번호로 전화를 걸면 이제 해당 언어에 맞게 담당자가 나와서 여기 마이크로소프트 공식 기술 지원팀입니다. 라고 답변을 할 것이고 제가 화면에 이렇게 저렇게 나오고 에러 코드 2V7HGTVB 이 나와야 하면 OK 한놈 낚았다. 라면서 작업을 할 것입니다.
장치에 대한 원격 액세스를 제공하는 프로그램을 설치하도록 요청을 할 거나 숙련된 사기꾼은 원격 액세스를 사용하여 일반 시스템 메시지를 문제의 징후로 잘못 표시할 수 있게 하며
또한, 브라우저를 전체 화면 모드로 전환하고 사라지지 않는 팝업 메시지를 표시하여 브라우저를 잠금을 시전을 할 수가 있으며 이러한 가짜 오류 메시지는 기술 지원 핫라인을 호출하도록 놀라게 하는 것이 목표이며 여기서 일회성 비용이나 구독 형태로 결제 즉 비트코인 이나 기프트 카드와 같은 암호 화폐(가상화폐)의 형태 금전적인 부분을 요구할 것입니다.

유포 사이트

https://scriptedspam(.)azurewebsites(.)net/Win08ShDMeEr0887/index(.)html

마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 메인화면

일단 해당 사이트에 접속하면 다음과 같은  내용 을 볼 수가 있습니다.

Windows Defender SmartScreen has prevented the display of an unrecognized application.
Running this application may put your PC at risk.
Windows Defender Scan has found a potentially unwanted adware on this device
that could steal your passwords, your online identity, your financial information,
your personal files, your photos or your documents
Access to this PC has been blocked for security reasons. Call Windows +1-888-390-6929
Your computer has reported to us that it has been infected with Trojan-type spyware.
The following data has been compromised
Email IDs Bank passwords
Facebook logins 
Photos and documents
Windows Defender Scan has found a potentially unwanted adware on this device
\that can steal your passwords, your online identity, your financial information,
your personal files, your photos or your documents.
You should contact us immediately so that our engineers can guide you through
the removal process by phone.
Call Windows Support immediately to report this threat, prevent identity theft,
and unblock access to this device.
By closing this window, you are putting your personal information at risk
and you may have your Windows registration suspended.
Call Windows Support:

한국어 번역

Windows Defender SmartScreen은 인식할 수 없는 응용 프로그램의 표시를 차단했습니다.
이 애플리케이션을 실행하면 PC가 위험해질 수 있습니다.
Windows Defender 검사를 통해 이 장치에서 암호, 온라인 신원, 금융 정보, 개인 파일,
사진 또는 문서를 훔칠 수 있는 잠재적으로 원치 않는 애드웨어를 발견했습니다.
보안상의 이유로 이 PC에 대한 액세스가 차단되었습니다.
Windows +1-888-390-6929에 전화하세요.
귀하의 컴퓨터가 트로이 목마 유형의 스파이웨어에 감염되었다고 보고되었습니다.
다음 데이터가 손상되었습니다.
이메일 ID 은행 비밀번호
페이스북 로그인
사진 및 문서
Windows Defender 검사는 이 장치에서 암호, 온라인 신원, 금융 정보, 개인 파일,
사진 또는 문서를 훔칠 수 있는 잠재적으로 원치 않는 애드웨어를 발견했습니다.
엔지니어가 전화로 제거 프로세스를 안내할 수 있도록 즉시 당사에 연락하시기 바랍니다.
즉시 Windows 지원에 전화하여 이 위협을 보고하고, 신원 도용을 방지하고,
이 장치에 대한 액세스 차단을 해제하세요.
이 창을 닫으면 개인 정보가 위험해지며 Windows 등록이 일시 중단될 수 있습니다.
Windows 지원팀에 문의하세요.

마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 웹 소스를 보면 다음과 같이 사용자를 낚으려고 준비가 돼 있습니다. 즉 Trojan.DNSCharge.AC... 이런 악성코드에 걸렸고 레지스터리 위치는  HKLM\SYSTEM\CURRENTCONTROLS 여기이다. 이런 식으로 낚시합니다.

마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 웹소스

<div class="cardcontainer" style="cursor: none; display: block;" id="pop_up_new">
      <p style="font-size:16px;font-weight:400;margin:0;margin-bottom:5px;padding:5px 10px;color:#fff!important;color:#414141;font-weight:700;margin-top:8px" class="text-center">Windows-Defender - Security Warning</p>
      <p>
        <b>ACCESS TO THIS PC IS BLOCKED FOR SECURITY REASONS</b>
      </p>
      <p>Your computer has reported to us that it has been infected with Trojan-type spyware. The following data has been compromised.</p>
      <p>&gt; Email IDs <br>&gt; Bank passwords <br>&gt; Facebook logins <br>&gt; Photos and documents </p>
      <p>Windows Defender Scan has found a potentially unwanted adware on this device that can steal your passwords, your online identity, your financial information, your personal files, your photos or your documents.</p>
      <p>You should contact us immediately so that our engineers can guide you through the removal process by phone.</p>
      <p>Call Windows Support immediately to report this threat, prevent identity theft, and unblock access to this device.</p>
      <p>By closing this window, you are putting your personal information at risk and you may have your Windows registration suspended.</p>
      <p style="padding-bottom:0;color:#fff;font-size:16px">Call Windows Support: <strong>
          <span style="border:1px solid #fff;border-radius:5px;padding:2px 5px">+1-888-390-6929
          </span>
        </strong>
      </p>
      <div class="action_buttons">
        <a class="active" id="leave_page" style="cursor:pointer;color:#fff!important">OK</a>
        <a class="active" id="leave_page" style="color:#fff!important">Cancel</a>
      </div>
    </div>
    <div class="answer_list" style="display:none;background-color:rgb(226 227 229 / 90%);height:auto;width:550px;margin-left:33%;position:absolute;z-index:99999999;border:1px solid transparent;border-color:#d6d8db;border-radius:.5rem" id="welcomeDiv">
      <p style="color:#383d41;margin-top:10px;font-size:16px;opacity:.9;padding:0 5px" class="text-center">You should contact us immediately so that our engineers can guide you through the removal process by phone. <br>Your computer is disabled.<br>
        <strong>Call Windows Support: <span style="border:1px solid #383d41;border-radius:5px;padding:2px 5px"> +1-888-390-6929
          </span>
        </strong>
      </p>
    </div>

코드 설명

해당 코드는 악성 목적을 가진 가짜 보안 팝업을 생성하는 HTML 및 CSS 코드로 코드의 주요 부분을 설
1. <div class="cardcontainer">:
가짜 보안 팝업의 컨테이너 역할을 하는 <div> 요소.
cursor: none;은 마우스 커서를 숨기는 스타일 속성
id="pop_up_new"는 팝업을 식별하는 데 사용
2.메시지 텍스트:
여러 <p> 요소를 사용하여 가짜 경고 메시지를 표시
텍스트에는 사용자에게 허위 정보를 제공하고, 보안 문제가 발생했다는 메시지가 포함
3.전화 번호 표시:
전화로 연락하라는 부분에서 <span>과 <strong> 요소를 사용하여 전화번호를 강조하고 표시
전화번호는 +1-888-390-6929
4. 버튼:
OK 과 Cancel 버튼이 있는 <div class="action_buttons">이 존재
해당 버튼들은 스타일 및 이벤트 핸들러가 적용
5.두 번째 <div> (id="welcomeDiv"):
해당 부분은 처음에는 숨겨져 있지만, 나중에 어떤 조건에서 보이도록 설정
가짜 경고 메시지를 반복하며 다시 전화로 연락하도록 유도하는 부분
6. 스타일링:
여러 스타일 속성이 인라인으로 적용되어 있습니다. 색상, 폰트 크기, 여백 등이 조정되어 있음
허위 정보를 제공하여 전화로 연락하도록 유도하는 목적을 가진 악성 팝업을 생성하는 데 사용

IP 정보 관련 코드

마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) IP 정보 가져오기

<script src="12noir(.)js"></script>
    <script>
      var t = new XMLHttpRequest;
      t.onreadystatechange = function() {
        if (4 == this.readyState && 200 == this.status) {
          var a = JSON.parse(this.responseText);
          ipadd = a.ip;
          city = a.city;
          country = a.country;
          isp = a.connection.isp;
          var b = new Date;
          currtime = a.timezone.current_time;
          document.getElementById("ip_add").textContent = "Adresse IP: " (+) ipadd (+) " " + b.toLocaleString("EN-US", currtime);
          document.getElementById("city").textContent = "Location: " (+) city + ", " (+) country;
          document.getElementById("isp").textContent = "ISP: " (+) isp
        }
      };
      t.open("GET", "https://ipwho(.)is/?lang=en", !0);
      t.send();
    </script>

코드 설명

해당 코드는 JavaScript를 사용하여 웹 페이지에서 사용자의 IP 주소 및 관련 정보를 가져와 화면에 표시하는 스크립트
1.12noir(.)js 파일 로딩:
<script src="12noir(.)js"></script> 라인은 12noir(.)js 파일을 현재 페이지에 로드하는 역할을 하며 파일은 코드 내에서 직접 사용되지 않았으므로 해당 파일의 내용은 알 수 없습니다.
2.IP 및 관련 정보 가져오기:
var t = new XMLHttpRe(q)uest;를 사용하여 XMLHttpR(e)quest 객체를 생성
t(.)onreadystatechange 은 상태가 변경될 때마다 호출되는 콜백 함수를 정의
서버로부터의 응답이 완료되고 HTTP 상태 코드가 200일 때 JSON 형식으로 파싱 하여 서버에서 받은 데이터를 해석
IP 주소 (ipadd),도시 (city),국가(country`),ISP (인터넷 서비스 제공자,isp),그리고 현재 시각 (currtime) 등의 정보를 변수에 저장
3.화면에 정보 표시:
document.getElementById("ip_add").textContent를 사용하여 HTML 문서에서 특정 id를 가진 요소의 텍스트 내용을 변경
IP 주소, 위치 (도시 및 국가), ISP 및 현재 시간 등이 화면에 표시
4.서버에서 IP 정보 가져오기:
`t.open("GET", "https:(//)ipwho(.)is/?lang=en", !0);`은 HTTP GET 요청을 보내도록 설정
`t.send();`를 호출하여 서버에 요청을 보냄
해당 요청은 https://ipwho(.)is/?lang=en 주소로 보내지며 서버에서 IP 및 관련 정보를 반환
해당 코드는 사용자의 IP 정보를 가져와 화면에 표시하는 간단한 기능을 수행하며 여기서는 사용자의 동의 없이 IP 정보를 수집하고 표시하고 있습니다.
그리고 해당 사이트에 접속하면 다음과 같이 사용자의 IP 주소 및 접속 지역 등을 잘 저장이 돼 있는 것을 확인할 수가 있습니다.

사용자 IP 정보 및 도시 등 개인정보 무단 수집

해당 사이트에 저장된 개인정보를 보면 통신사 정보, 위도, 경도, 사용자 IP 주소, 도시, 우편주소, 사용자 기기, 접속한 운영체제, 브라우저 정보들이 헤더에 잘 정리 돼 있는 것을 확인할 수가 있습니다. 이런 느낌이라고 할까요?

Access-Control-Allow-Headers: *
Connection: keep-alive
Content-Type: application/json; charset=utf-8
Date: Mon, 04 Dec 2023 11:22:12 GMT
Server: ipwhois
Transfer-Encoding: chunked
X-Robots-Tag: noindex
Accept: text/html,application/xhtml(+)xml,application/xml;q=0.9,image/avif(,
)image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Connection: keep-alive
DNT: 1
Host: ipwho(.)is
Prefer: safe
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Sec-GPC: 1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 14; SAMSUNG SM-S918N) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/22.0.3.1 Chrome/118.0.0.0 Mobile Safari/537.36

대처 방법

그냥 무시하는 것입니다. 

안랩 V3 피싱사이트 차단

전화도 하지 말고 비트코인 같이 가상화폐(암호화폐) 나 돈을 요구하거나 기프트 카드로 결제 가능 이러면 그냥 100% 사기입니다.
아직은 한국어로 작성된 해당 스캠을 보지 못했지만, 영어, 프랑스 어, 일본어 등이 존재하고 있기 때문에 항상 조심해야 합니다.

[브라우저 부가기능/파이어폭스 부가기능] - 악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

 

그리고 기본적으로 V3 설치를 해서 사용을 하며 이런 유의 피싱 사이트들은 차단을 할 수가 있으며 Emsisoft Browser Security 같은 브라우저 부가기능을 설치해서 함께 사용을 하는 것을 권장합니다.