오늘은 넷플릭스 사칭 피싱 사이트 인 netflix-notfification에 대해 알아보겠습니다. 피싱(phishing)은 이메일 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 위장해서 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이며 피싱(phishing)이란 용어는 fishing에서 유래하였으며 private data와 fishing의 합성어입니다. 처음에는 금융정보를 얻기 위해서 시작을 하다가 이제는 유명한 계정 페이팔, 유튜브, 넷플릭스 등과 같은 서비스의 계정을 훔치기 위해서 이런 모습이 보이고 있습니다. 그리고 최근에는 코로나 19 때문에 넷플릭스 같은 OTT 서비스가 인기가 있습니다.
최근 이런 상황을 가지고 피싱 짓을 하는 사이트들이 생기고 있습니다. 일단 해당 사이트에 접속을 하면 기본적으로 예를 들어서 한국 IP로 접속을 하면 당연히 한국어 가 나와야 되지만 한국어가 영어로 나오는 것을 볼 수가 있고 넷플릭스 이용자를 속이기 위해서 인증서 즉 https 서비스를 제공을 하고 있어서 사용자로 하여금 방심을 유도하는 것을 볼 수가 있습니다. 그런데 현명한 사람이라고 하면 전에도 피싱 사이트 구분 방법 중 하나인 ID 부분에 특수 기호를 첨부한 아무거나 를 입력을 하고 정상적인 로그인 이 되면 100% 피싱 사이트입니다.
즉 기존 피싱 사이트들은 피싱 사이트에 접속을 하면 브라우저, 백신 프로그램에서 아직 탐지하고 있지 않더라도 보안 연결 아님이라는 글자를 볼 수가 있습니다. 즉 https 연결이 아닌 http 연결이라는 것을 볼 수가 있습니다. 그렇지만 이번처럼 정교하게 이루어진?? 피싱 사이트들은 기본적으로 먼저 주소를 잘 확인을 해 보면 알 수가 있고 두 번째로 이번에는 인증서를 보아야 합니다. 예를 들어서 지금 사기치고 있는 피싱사이트 인증서를 보겠습니다.
피싱 사이트 인증서
일반 이름:netflix-notfification(.)com
발급자 이름:없음
국가:EN
일반 이름:HTTP DEBUGGER CA for DEBUG ONLY 2
발급자 이름
국가:GB
시/도:Greater Manchester
구/군/시:Salford
조직:Sectigo Limited
진짜 넷플릭스 인증서
국가:US
시/도:California
구/군/시:Los Gatos
조직:Netflix,Inc
조직 단위:Operations
일반 이름:www(.)netflix(.)com
발급자 이름
국가:US
조직:DigiCert Inc
입니다.
보시면 확실하게 차이가 나는 것을 볼 수가 있습니다.즉 진짜 인증서는 확실하게 주소 들이 들어가져 있지만 가짜 넷플릭스 인증서 보면 이상하게 GB 이라는것을 볼수가 있습니다. 그리고 로그인을 하면 바로 돼 놓고
Pay your membership.
Cancel before 01/09/20 to not be charged.
As a reminder, we'll email you 3 days before.
No commitments.
Cancel online at anytime.
구글 번역기 돌려보면 다음과 같이 나오는 것을 볼 수가 있습니다.
멤버십을 지불하십시오.
청구되지 않으려면 01/09/20 이전에 취소하십시오.
참고로 3 일 전에 이메일을 보내 드리겠습니다.
약속이 없습니다.
언제든지 온라인으로 취소
이렇게 적어 넣고 사용자에게 송금 또는 신용카드 결제를 요구합니다. 즉 입력하는 순간 금적전인 피해를 보게 되어 있습니다.
2021-01-06 12:05:52 UTC 기준 피싱 진단 업체는 다음과 같습니다.
Emsisoft:Phishing
Google Safebrowsing:Phishing
Kaspersky:Phishing
Netcraft:Malicious
Sophos:Malware
Spamhaus:Phishing
Fortinet:Spam
Microsoft Defender SmartScreen에서 확인 결과 정상적으로 피싱 탐지하고 있음
일단 개인적으로 Eset, Symantec Sitereview에 피싱 신고했습니다.
가짜 넷플릭스 사이트 최종 IP주소는 다음과 같습니다.
162.0.209(.) 21를 조회를 해보면 다음과 같이 미국에 있는 것을 볼 수가 있었습니다.
IP Address:162(.)0.209.21
Reverse DNS:21(.)209.0(.)162.in-addr(.)arpa
Hostname: premium163-5(.)web-hosting(.)com
Nameservers:
ns2(.)web-hosting.com >> 198(.)24.166.145
ns1(.)web-hosting.com >> 198(.)54.118.49
Location For an IP:162(.)0.209.21
Continent:North America (NA)
Country:United States
IP Location Find In United States (US)
Capital:Washington
State:Unknown
City Location: Unknown
ISP:AirComPlus
Organization:AirComPlus
AS Number:AS35893 AirComPlus Inc.
일단 이런 피싱 메일 등을 받았을 때 사용자가 꼼꼼하게 확인하는 습관을 가지는 것이 중요하고 그리고 최소한 브라우저에서 피싱 그리고 악성코드 유포 사이트 차단 기능은 기본적으로 제공을 하고 있으니 해당 기능을 함부로 끄는 일을 하지 않았으면 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 네이버 계정 탈취를 시도하는 피싱사이트-eyxeveufge dns (2) | 2021.01.18 |
|---|---|
| 카카오뱅크 사칭 피싱 악성코드-kakaobank.apk (7) | 2021.01.15 |
| 윈도우 10 정기 누적 업데이트 KB4598229&KB4598242 발표 (0) | 2021.01.14 |
| 파이어폭스 84.0.2(Firefox 84.0.2)보안 업데이트 (0) | 2021.01.11 |
| 구글 크롬 업그레이드된 HTTPS 탐색(upgraded HTTPS navigations) 도입 (0) | 2021.01.06 |
| 특정 연애인 사생활을 사칭 네이버 계정 탈취를 하는 피싱 사이트(2021.01.03) (0) | 2021.01.05 |
| 인터넷 온라인 추적 받는지 확인 해주는 사이트-Cover Your Tracks (6) | 2021.01.04 |
| Microsoft는 Windows 10의 암호 저장 문제를 수정 방법 (4) | 2020.12.31 |
