꿈을꾸는 파랑새

네이버 카페에서 지속적으로 네이버 카페에다가 무작위로 특정연예인이 결혼했니 이혼을 했니 음란동영상이니 방식으로 해서 썸네일은 선정적인 장면을 넣어서 사용자가 클릭해서 해당 사이트에 접속하면 동영상 재생 화면이 나오지만, 해당 부분은 그냥 그림 파일 뿐이고 해당 가짜 로그인을 보여주면 해당 부분에 실제 ID, 비밀번호를 입력하면 네이버 계정을 탈취하는 것이 목적입니다.
일단 네이버 카페에서는 다음과 같은 화면을 보면 자극적인 장면을 볼 수가 있습니다. 해당 부분을 클릭하면 다음과 같이 진행이 됩니다.
https://foreverjinu2.tistory.c?m/53->hxxp://foreverjinu2(.)0pe(.)k?->https://tv.naver.com/v/19221029
이런 식으로 연결됩니다.

특정 연애인 사생활을 사칭 네이버 계정 탈취를 하는 피싱 사이트특정 연애인 사생활을 사칭 네이버 계정 탈취를 하는 피싱 사이트

보면 최근 기본적으로 티스토리 쪽 블로그를 누군가 계정을 생성했거나 아니면 누군가의 블로그를 해킹해서 해당 블로그를 통해서 hxxp://foreverjinu2(.)0pe(.)k? 로 연결이 되는 방식을 취하고 있습니다.
그리고 다음과 같이 와이어샤크에 보면 다음과 같은 정보를 볼 수가 있습니다.

네이버 계정 탈취를 하는 피싱 사이트 트래픽네이버 계정 탈취를 하는 피싱 사이트 트래픽

Host: foreverjinu2.0pe.k?
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:79.0) Gecko/20100101 Firefox/79.0
Accept: text/html, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 37
Origin: http://foreverjinu2.0pe.k?

네이버 계정 탈취를 하는 피싱 사이트 차단네이버 계정 탈취를 하는 피싱 사이트 차단

DNT: 1
Connection: keep-alive
Referer: http://foreverjinu2.0pe.k?/login.asp
Cookie: ASPSESSIONIDQSATDSTT=AOCOAFGDNCJDNENNDEMMGIAI
uname=test&upass=test&action=chkloginHTTP/1.1 200 OK
여기서 uname,upass 부분에 아이디하고 비밀번호입니다.

그리고 사용을 하는 쿠키들은 다음과 같습니다.ASPSESSIONIDQSATDSTT,AOCOAFGDNCJDNENNDEMMGIAI 입니다.
그리고 2020년07년27일19: 21:19(UTC) 바이러스토탈 경우에는 Google:Safebrowsing 에서는 반응을 하고 있습니다. 일단 개인적으로는 Eset(이셋) 쪽에는 피싱 사이트 신고를 한 상태입니다. 일단 언제 적용이 될지 모르겠습니다. 일단 모르는 링크 그리고 자극적인 썸네일 이 있는 글 등은 클릭하지 말아야 하면 그리고 개인정보를 입력하는 것은 피해야 합니다. 그리고 인터넷 주소를 잘 보아야 할 것 같습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band