꿈을꾸는 파랑새

반응형

오늘은 네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)에 대해 글을 적어보겠습니다. 일단 해당 피싱 사이트는 기본적으로 네이버 카페에서 네이버 계정이 해킹되었던 사람을 계정을 통해서 유포되는 것을 의심되면 기본적으로 자신의 네이버 계정이 이런 피싱사이트 유포에 악용되는 것을 차단하려면 기본적으로 2단계 인증 등을 해두면 도움이 될 것이면 기본적으로 브라우저에서 제공하는 피싱사이트 차단 기능을 사용을 중지시키지 말고 그리고 백신앱등에서 제공을 하는 피싱사이트 차단 기능을 비활성화하는 어리석은 짓은 하지 말아야 합니다. 일단 해당 피싱사이트는 기본적으로 네이버 카페에서 유포하고 있으며 기본적으로 자극적인 썸네일을 통해서 사용자가 클릭을 유도하고 있으면 썸네일은 아마도 몰카로 유출된 동영상 썸네일 을 사용을 하는 것 같습니다. 일단 특정 연예인의 이혼이니 결혼이니 등으로 제목으로 유포되고 있습니다.
해당 유포가 되는 정보는 다음과 같습니다.
피싱 사이트 주소:http://tanini(.)r-e.kr/
Serving IP Address(서비스 IP 주소)
45.116.79(.)61
메타태그(Meta tags)

viewport width=device-width, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0, user-scalable=no
set-cookie:ASPSESSIONIDCACQASQT=LAHGDMCBKLJNLIGBCEGHDLPH; path=/

네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)네이버 카페를 통해서 네이버 계정 탈취를 노리는 피싱 사이트(2020.8.30)

쿠키
ASPSESSIONIDCACQASQT LAHGDMCBKLJNLIGBCEGHDLPH
ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD(제가 접속을 했을 때 쿠키 정보입니다.)
IP Address: 45(.)116.79.61
Reverse DNS:** server can't find 61(.)79.116.45.in-addr.arpa: SERVFAIL
Hostname: 45(.)116.79.61
Location For an IP: 45(.)116.79.61
Continent:Asia (AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong

네이버 계정 탈취 피싱사이트네이버 계정 탈취 피싱사이트

일단 해당 피싱 사이트는 홍콩에서 만들어져 있고 입력한 정보는 홍콩으로 보내지는 것 같습니다.
일단 해당 부분을 접속하면 제 같은 경우 파이어폭스를 메인으로 하고 있어서 파이어폭스에서 차단한 것을 볼 수가 있습니다. 그리고 해당 부분을 피싱사이트 보호 기능을 해제하고 접속을 하면 동영상 재생 버튼이 보이는데 해당 부분은 일단 이미지 파일이면 가짜 네이버 피싱 사이트가 보이는 것을 볼 수가 있습니다. 해당 네이버 로그인 부분에 보면 주소가 네이버 주소가 아닌 것을 볼 수가 있으며 해당 부분을 와이어샤크로 보면 다음과 같은 내용을 볼 수가 있습니다.

네이버 계정 탈취 피싱사이트 와이어샤크네이버 계정 탈취 피싱사이트 와이어샤크

GET / HTTP/1.1
Accept: text/html, application/xhtml+xml, image/jxr, */*
Accept-Language: ko-KR
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: tanini.r-e(.)kr
Connection: Keep-Alive
GET /public/js/jquery-1.11.3.min.js HTTP/1.1
Accept: application/javascript, */*;q=0.8
Referer: http://tanini(.)r-e.kr/
Accept-Language: ko-KR
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: tanini.r-e(.)kr
Connection: Keep-Alive
Cookie: ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD
인것을 볼수가 있습니다. 그리고 해당 부분에 네이버 계정 정보를 입력하면 다음과 같이 전송이 되는 것을 볼 수가 있습니다. test이라는 부분이 네이버 아이디, 네이버 비밀번호입니다.
POST /ajax.asp HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: text/html, */*; q=0.01
X-Requested-With: XMLHttpRequest
Referer: http://tanini(.)r-e.kr/login.asp
Accept-Language: ko-KR
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
Host: tanini.r-e.kr
Content-Length: 37
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDCACQASQT=FEAJDMCBKFCIGHCBDGCCBCFD
uname=test&upass=test&action=chklogin
그리고 네이버 계정을 입력을 완료하고 나면 네이버 TV 쪽으로 이동하는 것을 볼 수가 있지만, 네이버 TV 쪽에서는 해당 동영상을 삭제한 것을 볼 수가 있습니다. 그리고 해당 부분을 다시 기존 IP로 접속하면 에러가 발생하는 것을 볼 수가 있습니다. 일단 기본적으로 주소부분을 확인하면 쉽게 피싱 사이트 인지 확인을 할 수가 있으면 자신이 사용하는 네이버 계정 등에서 기본적으로 2단계 인증을 해주면 도움이 될 것입니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://jongamk.tistory.com BlogIcon 핑구야 날자 2020.08.31 06:46 신고

    비밀번호를 자주 바꿔 주는게 좋을 거 같아요

    • Favicon of https://wezard4u.tistory.com BlogIcon Sakai 2020.09.01 00:59 신고

      비밀번호 자주 바꾸는것도 중요하지만 2단계인증을 적용시켜두는것이 제일 안전 합니다.

  2. Favicon of https://xuronghao.tistory.com BlogIcon 空空(공공) 2020.08.31 07:09 신고

    이런 경우도 있군요
    주의해야겠습니다.

  3. 네이버 메일 2단계 인증을 설정하는 것이 안전하겠네요.

  4. Favicon of https://rdsong.com BlogIcon 알송달송IT세상 2020.09.02 21:05 신고

    인증단계를 좀더 높여 놔야 겠습니다.

    • Favicon of https://wezard4u.tistory.com BlogIcon Sakai 2020.09.02 22:24 신고

      저런 피싱은 웹 주소만 잘 확인 해도 될것이면 계정이 해킹 당해서 저런것에 악용되는것을 방지 하기 위해서는 2단계인증은 반드시 해야 합니다.