삼성 피싱(Phishing) 사이트 분석-miamitradingszone(2025.4.11)

오늘은 삼성 계열사 중 어느 곳인지 모르겠지만, 아무튼 삼성 직원들을 대상으로 한 피싱 메일에 대해 분석을 해보겠습니다. 일단 개인적으로 해당 공격은 이메일 통해서 공격했으리라 생각이 됩니다. 먼저 피싱 사이트 주소는 다음과 같습니다.

hashingalgorithm(.)miamitradingszone(.)com/?quphd1vy2=wiof?wo?ej@samsung.com

입니다.
해당 사이트 특이점으로 피싱(Phishing) 사이트 연결시 진짜 클라우드파이어를 거치고 피싱이 작동을 하는 방식을 취하고 있으며 해당 피싱 사이트 접속을 하면 다음과 같은 화면을 볼 수가 있습니다.

삼성 계정 탈취 피싱 사이트

특정분으로 추정되는 사람의 삼성 계정이 입력된 것을 볼 수가 있으며 해당 사이트에 비밀번호를 입력하면 당연히 비밀번호는 다르다고 나옵니다.
해당 부분에서 비밀번호를 입력하면 다음과 같은 사이트에 개인정보를 전송하게 돼 있는 구조를 채택하고 있습니다.
피싱 사이트에서 최종적으로 전송되는 사이트는 다음과 같습니다.

HTTP Debugger Pro 로 개인정보 전송

hxxps://lees-engineering(.)net/main/report/rpo365adfs(.)php

입니다.
여기서 보면 간단하게 이메일, 비밀번호가 수집된 것을 확인할 수가 있을 것입니다.
Raw
POST /main/report/rpo365adfs(.)php HTTP/1.1
Host: lees-engineering.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:138.0) Gecko/20100101 Firefox/138.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Referer: hxxps://lees-engineering(.)net/main/qmbsnsjtjke6bc60a4da183de2a800645409b27e3(5)3da5bbd65ddc25715b25664c08777717_1744375423_identifier/loginxxt(.)php
Content-Type: application/x-w(w)w-form-urlencoded
Origin: hxxps://lees-engineering(.)net
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Cookie: PHPSESSID=fbf37kvsp6mg4b6ecav75lfh8i; passed_index=true; googtrans=/en/ko; googtrans=/en/ko
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=4
Accept-Encoding: gzip, deflate
Content-Length: 57

email=?????ofej%40samsung(.)com&password=test123!%40%23%40
일단 이런 피싱(Phishing)메일에 속지 않는 방법은 링크와 보낸 이의 이메일 주소를 잘 확인하는 것을 추천 드리며 보낸이의 이메일 주소도 진짜로 오게 해서 진화를 하고 있으니 항상 조심하는 것을 추천합니다.