텔레그램 사용자 정책 위반 사칭 피싱 사이트-telegram(-)bk(.)org(2024.10.1)

오늘은 텔레그램 사용자 정책 위반 사칭 피싱(Phishing) 사이트-telegram(-)bk(.)org(2024.10.1)에 대해 알아보겠습니다.
최근에는 러시아 태생의 니콜라이 두로프(Николай Дуров, Nikolai Durov) 파벨 두로프 형제가 개발하여 2013년 8월에 iOS용으로 처음 출시 현재는 안드로이드,Windows,Windows Phone,리눅스,macOS,브라우저 까지 지원하는 메신저이며 뭐 보안이 좋다고 하지만 다 허점이 있으며 보안 메신저 들도 한 놈이 사고 치면 다 잡히게 되어져 있습니다.

일단 해당 텔레그램은 딥페이크(Deepfake) 때문에 문제가 되는 메신저입니다.일단 해당 텔레그램을 계정이 사용정책이 위반했다고 피싱 사이트로 유도를 하는 방식을 취하고 있습니다.

텔레그램 피싱 사이트 PC 접속시 화면

피싱 내용

[국제발신][텔레그램]사용자 본인인증을 진행해주세요. 로그인이 곧 만료됩니다.https://
[국외발신]텔레그램 사용정책 위반에 따라 계정이 비활성화 될 예정입니다.
12시간내로 본인인증을 완료해주세요.https://

입니다. 일단 PC(컴퓨터)로 접속을 했을 때는 QR 코드를 통해서 접속을 유도하고 
스마트폰 접속을 했을 때는 전화번호를 입력하고 있습니다.
일단 먼저 PC(컴퓨터)로 접속을 하면 다음과 같습니다.
Log in to Telegram by QR Code
Open Telegram on your phone
Go to Settings → Devices → Link Desktop Device
Point your phone at this screen to confirm login
휴대전화에서 텔레그램을 열어주세요.

텔레그램 피싱 사이트 스마트폰 접속시 화면

설정->기기->데스크톱 기기 연결로 이동하세요.
휴대전화로 스캔하여 로그인을 승인하세요
라고 되어져 있으며 스마트폰으로 접속을 시도하면 전화번호 인증을 요구하면 개인적으로 전화번호 입력을 해보았는데 인증문자의 인증문자는 도착하지 않았습니다. 아마도…. 전화번호 수집이 목적이 아닐까 생각을 합니다.
그리고 QR 코드를 스캔하라고 해서 온라인에서 QR 코드 이미지를 읽어들이면 다음과 같은 주소를 확보할 수가 있습니다.

Emsisoft Browser Security 피싱 사이트 및 악성 사이트 차단

tg://login?toke(n)=AQLxoPtmHrgLMuv(f)W7_s45kTVtgj(L)fcwuc_hEZKA(o)FO7MQ

그리고 redirect(.)js 를 보면 다음과 같은 코드가 있습니다

const { pathname, hostname, href } = window(.)location;

if (pathname(.)startsWith('/z')) {
  window.location(.)href = href(.)replace('/(z)', '/a');
}

if (
  (hostname === 'weba(.)telegram(.)org' || hostname === 'webz(.)telegra
  m(.)org') && !localStorage.getItem('tt-(g)lobal-state')
) {
  window.location.href = 'hxxps://web(.)telegram(.)org/a';
}

코드 분석

1. 변수 선언
window.location 객체에서 pathname, hostname, href 값을 추출
pathname:URL의 경로 부분
hostname: URL의 호스트 이름
href:전체 URL을 나타냄
2. 첫 번째 조건문
만약 현재 페이지의 경로(pathname)가 /z로 시작하면 
href 에서 /z 를 /a로 대체한 URL로 페이지를 이동(window(.)location(.)href)시킴
3. 두 번째 조건문
만약 hostname이 weba(.)telegram(.)org 또는 webz(.)telegram(.)org와 일치하고
localStorage 에 tt(-)global(-)state라는 항목이 없으면
브라우저는 hxxps://web(.)telegram(.)org/a로 페이지를 이동

[브라우저 부가기능/파이어폭스 부가기능] - 악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

지금은 해당 피싱 사이트가 생성이 된 지 1주일이 다 되어가니 기본적으로 경고에서도 차단하고 있을 것이겠고 여기서 문제는 VPN 쓰시는 분들인데 
BitDefender:Phishing
Cluster25:Phishing
Emsisoft:Phishing
Fortinet:Phishing
G-Data:Phishing
Kaspersky:Phishing
Netcraft:Malicious
Seclookup:Malicious
Trustwave:Phishing
Webroot:Malicious
이렇게 차단을 하고 있는데 최소한 지난 시간에 Emsisoft Browser Security이라도 브라우저에 설치해서 실행하면 다음과 같이 Attention!
Website blocked!
이라는 메세지와 함께 미리 차단을 할 수가 있으니 좀 설치해서 사용하는 것을 권장하면 그리고 기본적으로 백신 입에 있는 피싱 사이트 차단 기능을 사용하는 것을 권장합니다.