꿈을꾸는 파랑새

반응형

오늘 네이버 계정 탈취를 시도하는 피싱사이트 reacvpgxfd duckdns에 대해 알아보겠습니다. 한국의 대표 포털 사이트인 네이버 계정을 탈취를 시도하는 웹사이트인 reacvpgxfd duckdns 에 대해 글을 적어보겠습니다. 일단 해당 사이트는 기존에 소개 시켜 드린 네이버 피싱 사이트 와 다르게 문자로 스미싱을 시도하고 있으면 그리고 다른 네이버 피싱 사이트 등은 네이버 카페에 관리가 허술한 시간 새벽 시간에 노려서 어떤 연애인 성 접대, 어떤 연애인 이혼이라는 제목과 그리고 자극적인 썸네일로 사용자를 낚아서 가짜 네이버 계정에서 네이버 ID, 비밀번호를 입력하고 그리고 로그인이 이루어진 것처럼 하는 것이 특징이면 그리고 나서 네이버 TV 쪽으로 연결되지만
해당 동영상은 없는 것을 볼 수가 있습니다. 이번에 소개해 드리는? 피싱 사이트인 reacvpgxfd duckdns 이라는 피싱 사이트는 그냥 사용자가 로그인을 시도하면 ID, 비밀번호만 피싱 사이트 집단으로 전송되고 돼 있습니다.
일단 해당 피싱사이트 특징은 다음과 같습니다.
http://reacvpgxfd(.)duckdns.org
2020.11.10 18:10 KST 탐지하는 곳 3곳 있음
일단 탐지 되는곳은 다음과 같습니다.
피싱 사이트 진단 하는 보안 업체
ESET:Phishing
ESTsecurity-Threat Inside:Phishing
Google Safebrowsing:Phishing
일단 해당 피싱사이트 특징은 다음과 같습니다.

네이버 피싱 사이트네이버 피싱 사이트

http://reacvpgxfd(.)duckdns.org
63(.)141.227.106(유동 DNS)
입니다. 일단 기본적으로 진짜 네이버 사이트 및 피싱사이트 를 비교를 해보면 진짜 네이버 사이트는 기본적으로 QR 코드를 제공하고 있지만 피싱 사이트는 예전의 네이버 사용을 하고 있으면 기본적으로 네이버 언어를 변경해도 한국어로 보입니다.
해당 사이트 헤드 내용은 다음과 같습니다.

구글 세이프 브라우징 차단구글 세이프 브라우징 차단

Header 내용
POST /data/PostData HTTP/1.1
Host: reacvpgxfd(.)duckdns.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Origin: http://reacvpgxfd.duckdns(.)org
DNT: 1

HTTP Debugger Pro 보기HTTP Debugger Pro 보기

Connection: keep-alive
Referer: http://reacvpgxfd.duckdns(.)org/
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Content-Length: 111
localechange=&encpw=&enctp=1&svctype=1&smart_LEVEL=1&bvsd=&encnm=&locale=zh-Hans_CN&url=&id=12345667&pw=1234567
아이디,비빌번호 전송 내용

네이버 피싱 사이트 IP 주소네이버 피싱 사이트 IP 주소

localechange=&encpw=&enctp=1&svctype=1&smart_LEVEL=1&bvsd=&encnm=&locale=zh-Hans_CN&url=&id=12345667&pw=1234567
여기서 id=12345667&pw=1234567 부분이 마음대로 적은 아니디 비밀번호입니다. 여기서
h-Hans이라는 인코딩의 의미는 다음과 같습니다.
zh-Hans:중국어 번체
zh-Hans_NC: 중국어간체
중국발 피싱 IPS: 미국 그리고 중국어로 된 부분을 구글 언어도구로 번역하면 다음과 같은 부분이 있습니다.
请输入ID,请你输入密码는다음과 같습니다.
请输入ID:아이디를 입력하세요
请你输入密码:비밀번호를 입력하세요.
피싱 사이트 주소 IP 주소피싱 사이트 주소 IP 주소
여기서 302 리다이렉트는 다음과 같습니다. 요청한 리소스가 임시로 새로운 URL로 이동했음(Temporarily Moved)을 나타냄 따라서 검색엔진은 페이지순위나 링크에 대한 점수를 새로운 URL로 옮기지 않으며 기존 URL을 그대로 유지합니다.
HTTP Debugger Pro 피싱 사이트 보기를 보면 다음과 같습니다.
locale:zh-Hans_CN
id:1234567
pw:1234567
그리고 로그인, 비밀번호를 하면 다음과 같이 127.0.0.1로 전송이 되는 것을 볼 수가 있습니다. 그리고 피싱 사이트 제목을 보면 피싱 사이트 제목: NAVER 登录 로 돼 있어서 정상적으로 네이버가 아닌 것을 볼 수가 있습니다.
일단 바이러스토탈로 진단을 해면도 일단 탐지되는 곳은 한군데도 없었습니다.
http://reacvpgxfd(.)duckdns.org
Microsoft Edge(smartscreen) 신고 완료(2020.11.10 20:52:31 KST) 했습니다.
해당 피싱 사이트 도메인 정보는 다음과 같습니다.
P Address:63(.)141.227.106
Reverse DNS:106(.)227.141.63.in-addr.arpa
Hostname: portal01.datingdevelopment.website
Location For an IP: 63(.)141.227.106
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Unknown
City Location:Unknown
ISP:DataShack, LC
Organization:DataShack, LC
일단 저런 사이트에 개인정보가 털리는 것을 방지하려면 반드시 웹 사이트 주소가 정확한지 확인을 해보고 그리고 기본적으로 https 가없는 곳은 로그인 금지 그리고 귀찮더라고 인증서가 정상적인 사이트에 발급되오는지 확인을 하시고 하시는 것이 안전하게 사용을 하는 방법이고 아니면 일부러 가짜로 ID, 비밀번호를 입력하고 그리고 만약 이런 피해를 보는 것을 방지하기 위해서 반드시 2단계 인증이라는 기능을 제공하고 있는데 귀찮더라고 해당 기능은 반드시 활성화하는 것이 자신 계정이 다른 사람에게 악용되는 것을 방지할 수가 있습니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://jongamk.tistory.com BlogIcon 핑구야 날자 2020.11.11 06:47 신고

    계정 관리를 조심해야 할 것 같아요