꿈을꾸는 파랑새

오늘은 네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)에 대해 글을 적어보겠습니다. 일단 해당 피싱 사이트는 기본적으로 네이버 카페에서 네이버 계정이 해킹되었던 사람을 계정을 통해서 유포되는 것을 의심되면 기본적으로 자신의 네이버 계정이 이런 피싱사이트 유포에 악용되는 것을 차단하려면 기본적으로 2단계 인증 등을 해두면 도움이 될 것이면 기본적으로 브라우저에서 제공하는 피싱사이트 차단 기능을 사용을 중지시키지 말고 그리고 백신앱등에서 제공을 하는 피싱사이트 차단 기능을 비활성화하는 어리석은 짓은 하지 말아야 합니다. 일단 해당 피싱사이트는 기본적으로 네이버 카페에서 유포하고 있으며 기본적으로 자극적인 썸네일을 통해서 사용자가 클릭을 유도하고 있으면 썸네일은 아마도 몰카로 유출된 동영상 썸네일 을 사용을 하는 것 같습니다. 일단 특정 연예인의 이혼이니 결혼이니 등으로 제목으로 유포되고 있습니다.
해당 유포가 되는 정보는 다음과 같습니다.
피싱 사이트 주소:http://tanini(.)r-e.kr/
Serving IP Address(서비스 IP 주소)
45.116.79(.)61
메타태그(Meta tags)

viewport width=device-width, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0, user-scalable=no
set-cookie:ASPSESSIONIDCACQASQT=LAHGDMCBKLJNLIGBCEGHDLPH; path=/

네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)

쿠키
ASPSESSIONIDCACQASQT LAHGDMCBKLJNLIGBCEGHDLPH
ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD(제가 접속을 했을 때 쿠키 정보입니다.)
IP Address: 45(.)116.79.61
Reverse DNS:** server can't find 61(.)79.116.45.in-addr.arpa: SERVFAIL
Hostname: 45(.)116.79.61
Location For an IP: 45(.)116.79.61
Continent:Asia (AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong

네이버 계정 탈취 피싱사이트네이버 계정 탈취 피싱사이트

일단 해당 피싱 사이트는 홍콩에서 만들어져 있고 입력한 정보는 홍콩으로 보내지는 것 같습니다.
일단 해당 부분을 접속하면 제 같은 경우 파이어폭스를 메인으로 하고 있어서 파이어폭스에서 차단한 것을 볼 수가 있습니다. 그리고 해당 부분을 피싱사이트 보호 기능을 해제하고 접속을 하면 동영상 재생 버튼이 보이는데 해당 부분은 일단 이미지 파일이면 가짜 네이버 피싱 사이트가 보이는 것을 볼 수가 있습니다. 해당 네이버 로그인 부분에 보면 주소가 네이버 주소가 아닌 것을 볼 수가 있으며 해당 부분을 와이어샤크로 보면 다음과 같은 내용을 볼 수가 있습니다.

네이버 계정 탈취 피싱사이트 와이어샤크네이버 계정 탈취 피싱사이트 와이어샤크

GET / HTTP/1.1
Accept: text/html, application/xhtml+xml, image/jxr, */*
Accept-Language: ko-KR
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: tanini.r-e(.)kr
Connection: Keep-Alive
GET /public/js/jquery-1.11.3.min.js HTTP/1.1
Accept: application/javascript, */*;q=0.8
Referer: http://tanini(.)r-e.kr/
Accept-Language: ko-KR
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: tanini.r-e(.)kr
Connection: Keep-Alive
Cookie: ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD
인것을 볼수가 있습니다. 그리고 해당 부분에 네이버 계정 정보를 입력하면 다음과 같이 전송이 되는 것을 볼 수가 있습니다. test이라는 부분이 네이버 아이디, 네이버 비밀번호입니다.
POST /ajax.asp HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: text/html, */*; q=0.01
X-Requested-With: XMLHttpRequest
Referer: http://tanini(.)r-e.kr/login.asp
Accept-Language: ko-KR
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Host: tanini.r-e.kr
Content-Length: 37
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD
uname=test&upass=test&action=chklogin
그리고 네이버 계정을 입력을 완료하고 나면 네이버 TV 쪽으로 이동하는 것을 볼 수가 있지만, 네이버 TV 쪽에서는 해당 동영상을 삭제한 것을 볼 수가 있습니다. 그리고 해당 부분을 다시 기존 IP로 접속하면 에러가 발생하는 것을 볼 수가 있습니다. 일단 기본적으로 주소부분을 확인하면 쉽게 피싱 사이트 인지 확인을 할 수가 있으면 자신이 사용하는 네이버 계정 등에서 기본적으로 2단계 인증을 해주면 도움이 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band