꿈을꾸는 파랑새

오늘 네이버 계정 탈취를 시도하는 피싱사이트 halidmmecq duckdn에 대해 알아보겠습니다. 한국의 대표 포털 사이트인 네이버 계정을 탈취를 시도하는 웹사이트인 halidmmecq duckdn 에 대해 글을 적어보겠습니다. 일단 해당 사이트는 기존에 소개 시켜 드린 네이버 피싱 사이트 와 다르게 문자로 스미싱을 시도하고 있으면 그리고 다른 네이버 피싱 사이트 등은 네이버 카페에 관리가 허술한 시간 새벽 시간에 노려서 어떤 연애인 성 접대, 어떤 연애인 이혼이라는 제목과 그리고 자극적인 썸네일로 사용자를 낚아서 가짜 네이버 계정에서 네이버 ID, 비밀번호를 입력하고 그리고 로그인이 이루어진 것처럼 하는 것이 특징이면 그리고 나서 네이버 TV 쪽으로 연결되지만

해당 동영상은 없는 것을 볼 수가 있습니다. 이번에 소개해 드리는? 피싱 사이트인 halidmmecq duckdn 이라는 피싱 사이트는 그냥 사용자가 로그인을 시도하면 ID, 비밀번호만 피싱 사이트 집단으로 전송되고 돼 있습니다.
일단 해당 피싱사이트 특징은 다음과 같습니다.
http://halidmmecq.duckdns(.)org/
2020.11.02 08:09:25 UTC 탐지하는 곳 없음
http://halidmmecq.duckdns(.)org/
69.197.188(.)43(유동 DNS)

진짜 네이버 사이트 및 피싱 사이트 비교진짜 네이버 사이트 및 피싱 사이트 비교

입니다. 일단 기본적으로 진짜 네이버 사이트 및 피싱사이트 를 비교를 해보면 진짜 네이버 사이트는 기본적으로 QR 코드를 제공하고 있지만 피싱 사이트는 예전의 네이버 사용을 하고 있으면 기본적으로 네이버 언어를 변경해도 한국어로 보입니다.
해당 사이트 헤드 내용은 다음과 같습니다.
Header 내용
Host: halidmmecq(.)duckdns.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Origin: http://halidmmecq(.)duckdns.org
DNT:1
Connection:keep-alive
Referer: http://halidmmecq(.)duckdns.org/
Upgrade-Insecure-Requests: 1
Accept-Encoding:gzip,deflate
Content-Length:105

HTTP Debugger Rule NameHTTP Debugger Rule Name

아이디,비빌번호 전송 내용
localechange=&encpw=&enctp=1&svctype=1&smart_LEVEL=1&bvsd=&encnm=&locale=zh-Hans_CN&url=&id=haha&pw=hahah
여기서 id=haha&pw=hahah 부분이 마음대로 적은 아니디 비밀번호입니다. 여기서
h-Hans이라는 인코딩의 의미는 다음과 같습니다.
zh-Hans:중국어 번체
zh-Hans_NC: 중국어간체
중국발 피싱 IPS: 미국 그리고 중국어로 된 부분을 구글 언어도구로 번역하면 다음과 같은 부분이 있습니다.
请输入ID,请你输入密码는다음과 같습니다.

请输入ID:아이디를 입력하세요

请你输入密码:비밀번호를 입력하세요.

피싱 사이트 주소 IP 주소피싱 사이트 주소 IP 주소

여기서 302 리다이렉트는 다음과 같습니다. 요청한 리소스가 임시로 새로운 URL로 이동했음(Temporarily Moved)을 나타냄 따라서 검색엔진은 페이지순위나 링크에 대한 점수를 새로운 URL로 옮기지 않으며 기존 URL을 그대로 유지합니다.
HTTP Debugger Pro 피싱 사이트 보기를 보면 다음과 같습니다.
locale:zh-Hans_CN
id:haha
pw:hahah
그리고 로그인, 비밀번호를 하면 다음과 같이 127.0.0.1로 전송이 되는 것을 볼 수가 있습니다. 그리고 피싱 사이트 제목을 보면 피싱 사이트 제목: NAVER 登录 로 돼 있어서 정상적으로 네이버가 아닌 것을 볼 수가 있습니다.
일단 바이러스토탈로 진단을 해면도 일단 탐지되는 곳은 한군데도 없었습니다.
http://halidmmecq.duckdns(.)org/
2020-11-02 08:09:25 UTC 탐지하는 곳 없음
일단 탐지를 하기 위해서 Safebrowsing 신고 방법:
파이어폭스:도움말->가짜사이트 신고
구글 크롬:Suspicious Site Reporter 구글 크롬 부가기능 사용 해서 신고 편리
Eset,Safebrowsing,Microsoft Edge(smartscreen) 신고 완료(2020.11.2 09:52:31) 했습니다.
해당 피싱 사이트 도메인 정보는 다음과 같습니다.
Basic Tracking Info
Domain:Halidmmecq(.)duckdns.org
IP Address:69(.)197.188.43
Reverse DNS:43(.)188.197.69.in-addr.arpa
Hostname:pdp.buckup24.win
ns1(.)duckdns.org->54(.)187.92.222
ns3(.)duckdns.org->52(.)26.169.94
ns2(.)duckdns.org->54(.)191.117.119
Location For an IP: Halidmmecq.duckdns(.)org
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Arizona
City Location:Sedona
일단 저런 사이트에 개인정보가 털리는 것을 방지하려면 반드시 웹 사이트 주소가 정확한지 확인을 해보고 그리고 기본적으로 https 가없는 곳은 로그인 금지 그리고 귀찮더라고 인증서가 정상적인 사이트에 발급되오는지 확인을 하시고 하시는 것이 안전하게 사용을 하는 방법이고 아니면 일부러 가짜로 ID, 비밀번호를 입력하고 그리고 만약 이런 피해를 보는 것을 방지하기 위해서 반드시 2단계 인증이라는 기능을 제공하고 있는데 귀찮더라고 해당 기능은 반드시 활성화하는 것이 자신 계정이 다른 사람에게 악용되는 것을 방지할 수가 있습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band