꿈을꾸는 파랑새

반응형

오늘은 교통범칙금 통지 문자 사칭해서 개인정보를 무단으로 수집하는 사이트인 gjyyutoeuc guru에 대해 글을 적어 보겠습니다. 일단 기본적인 악성코드 주소는 다음과 같이 작동을 합니다.
h@@p://gjyyu(.) toeuc.guru/(안드로이드 접속 시 피싱 사이트 연결)
컴퓨터로 접속시:h??ps://www(.)efine(.)go.kr/error/efineError404.do 로 이동을 해서
해당 정보를 찾을 수 없습니다
페이지에 오류가 있습니다
잠시 후 다시 시도해 주시기 바랍니다.
오류 표시
이라는 메시지를 볼 수가 있으면 일단 먼저 접속을 할 때 운영체제를 확인을 하는 것을 볼 수가 있었습니다. 즉 컴퓨터에서는 이파인으로 넘겨 버리고 안드로이드 같은 경우에는 본격적으로 피싱을 하기 위해서 피싱 사이트에서 정보를 입력하게 합니다.

교통범칙금 통지 문자 사칭 피싱 사이트


이 과정에서 공격자는 해당 스미싱 문자를 직접 수신한 핸드폰 번호가 아닐 경우 입력번호 오류 라는 메시지를 띄워 악성코드 앱 다운로드를 막으며. 즉 보안업체의 악성 앱 샘플 수집/진단 방해를 목적으로 공격자가 미리 확보해놓은 전화번호 DB를 활용해 일명 화이트리스트 방식의 악성 앱 유포를 시도한 것으로 추측을 할 수가 있습니다.

교통범칙금 통지 문자 사칭 피싱 사이트 입력 오류

그리고 3번의 입력 초과가 발생을 하면 피싱 사이트 웹소스를 열어보면 다음과 같이
form name="form11" method="post" action="XFxTbp(.)php" >->
SCRIPT
window.location='hXXps://www.checkupmoa(.)com/';

hXXps://www(.)checkupmoa(.)com 으로 접속을 하게 해 두었습니다. 그리고 해당 피싱 사이트가 사용을 하는 IP 주소는 다음과 같습니다.
IP Address:1(.)168.47.50
Reverse DNS:50(.)47.168.1.in-addr.arpa
Hostname:1-168-47-50(.)dynamic-ip.hinet.net

교통범칙금 통지 문자 사칭 피싱 사이트 웹소스

Nameservers:
ans2(.)hinet.net >> 168(.)95.1.15
ans3).)inet.tw >> 168(.)95.1.15
ans1(.)hinet.net >> 168(.)95.192.15
Location For an IP:1(.)168.47.50
Continent:Asia (AS)
Country:Taiwan
IP Location Find In Taiwan (TW)
Capital:Taipei
이번에는 대만 쪽에서 서버를 두고 피싱을 시도하는 것을 확인을 할 수가 있습니다. 일단 Google 세이프 브라우징, ESET 쪽에 피싱 사이트 신고를 했으니까. 최소 Google 세이프 브라우징 기술을 사용을 하는 구글 크롬, 파이어폭스 등에서는 Google 세이프 브라우징에서 피싱 사이트로 판단을 하면 해당 사이트를 차단을 할 것입니다. 기본적으로 저런 사이트들은 http 만 적용 즉 https 가 적용이 안되어져 있고 그리고 저런 피싱 방식을 CJ 택배, 건강검진 모아 등으로 오고 있으니 출처가 불분명한 문자메시지 내 URL은 실행하지 말고 성능 좋은 백신앱은 설치해서 사용을 하시는 것도 도움이 될 것입니다.

반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of https://xuronghao.tistory.com BlogIcon 空空(공공) 2021.01.20 07:34 신고

    나쁜 사람들 많습니다

    • Favicon of https://wezard4u.tistory.com BlogIcon Sakai 2021.01.20 18:21 신고

      국내 보다는 해외에서 저런 피싱 사이트 만들고 돈은 국내에서 인출을 하는것 같습니다.

  2. Favicon of https://roan-junga.tistory.com BlogIcon 로안씨 2021.01.20 19:53 신고

    요즘 이런 사람들 정말로 많습니다
    저도 이런거 추적중인데요?
    본사는 한국에 있다고 하는 것 같습니다
    서버는 대만이나 필리핀 이쪽으로 돌려놓고
    나쁜짓하는 놈들 판국입니다
    정부에서 이거를 철저하게 조사해야합니다

    • Favicon of https://wezard4u.tistory.com BlogIcon Sakai 2021.01.21 19:09 신고

      이게 정부 가 나선다고 해도 어느정도 한계가 있습니다.말씀 하신것처럼 외국에서 주로 활동 하다 보니.저런 피싱 사이트에서 유포되는 악성코드 분해 해 보면 중국 서버 인가 그곳에 사용자 분들이 입력한 데이터들이 있습니다.물론 악성코드 짜는 사람이 아이디,비번을 흔적을 남겨두면 들어가서 개인정보 폭파 시켜 버리면 되는데.그것을 알수가 없는 경우가 많습니다.인출책들은 한국은 맞고 악성코드 안에 보면 어썰픈 한국어가 있는것 보면 한국어 실력이 좋지 않은 외국인 이거나 조선족?으로 추정 되는 한국어도 가끔 발견이 됩니다.그리고 악성코드 안에는 또 중국어 가 많이 보이는것이 특징 입니다.한국이 본사라는 것은 조금 이른 판단 이라고 생각이 들고 먼저 사용자 분들이 조심 하는 수 밖에 없습니다.