꿈을꾸는 파랑새

오늘은 포털 사이트 인 다음(Daum)을 사칭해서 다음 계정 정보를 탈취를 하는 피싱사이트에 대해 알아보겠습니다. 일단 해당 피싱 사이트에 접속을 하면 지금은 불법·유해 정보(사이트)에 대한 차단 안내로 접속을 할 수가 없게 되어 있지만 해당 피싱 사이트는 VPN를 접속을 하면 접속을 할 수가 있기 때문에 국내 IP를 사용을 하고 있다면 불법·유해 정보(사이트)에 대한 차단 안내를 통해서 위험을 받을 수가 있겠지만 VPN를 사용을 하고 있으면 해당 피싱 사이트에 접속을 할 수가 있기 때문에 주의가 필요합니다.
일단 해당 피싱 사이트는 보낸 사람은 Daum Security Filtre로 되어 있지만 해당 정상적인 것은 Daum Security Filter입니다. 즉 눈썰미가 조금 있으면 무엇인가 이상하다는 것을 찾을 수가 있습니다.
악성코드가 피싱을 하기 위해서 사용을 하는 방법은 다음과 같습니다.
새로운 HTTP INJECTION VIRUS에 감염되었다는 내용과 함께 사용자로 하여금 지금 업데이트 버튼을 눌러서 개인정보 업데이트를 하라고 유도를 하고 있습니다.
그러고 나서 해당 악의적인 목적을 가지고 있는 사람이 해당 부분을 클릭을 했으면 이제 악의적인 목적을 가지고 있는 사람이 만들어 놓은 피싱 사이트로 연결이 됩니다.

다음 보안 센터 사칭 피싱 사이트
다음 보안 센터 사칭 피싱 사이트

일단 https://qqixvc.weeblysite(.)com 로 연결이 되면 해당 연결이 완료되면 
daum 서버에서 보류 중인 모든 메일 보안을 업데이트하려면 로그인하십시오.
라고 되어 있는 한국어 띄어쓰기가 이상한 것을 볼 수가 있을 것입니다.
여기서 만약 다음을 사용을 하고 있는 분들이 오인해서 다음 계정 정보를 입력을 하면 해당 계정 정보가 전송이 됩니다.
예를 들어서 개인적으로 test@test(.)com과 test를 입력을 하면 다음과 같이 개인정보는 전송이 되는 것을 확인을 할 수가 있습니다.
개인정보는 다음과 같이 전송이 서버로 전송이 됩니다.

다음 보안 센터 피싱 사이트 개인정보 전송 서버
다음 보안 센터 피싱 사이트 개인정보 전송 서버

https://qqixvc.weeblysite(.)com/app/cms/api/v1/schemas/08879ca0-1986-11ec-88d0-f3706cab2019/entries
개인정보는 다음과 같이 서버에 전송이 되는 것을 확인을 할 수가 있습니다.
{"siteId":"6ff62ba0-1985-11ec-8029-075c5b41712f","entry":{"08877594-1986-11ec-88d0-f3706cab2019":"test@test.com","08877593-1986-11ec-88d0-f3706cab2019":"teset"},"formId":"08877592-1986-11ec-88d0-f3706cab2019","isTrusted":true}
그리고 개인정보가 전송이 완료가 되면 다음과 같은 화면을 볼 수가 있습니다.
daum 서버에서 보류 중인 모든 메일 보안을 업데이트하려면 로그인하십시오.
즉시
감사 해요!! daum 서버에서 보류 중인 모든 메일 보안이 성공적으로 업데이트되었습니다. 
이렇게 보면 구글 번역기를 통해서 번역을 했는지 한국어가 이상한 것이 많이 보이면 북한 해커조직에서 만들어서 배포를 하고 있는 네이버 피싱 메일 하고는 완성도가 떨어지지만 그래도 해당 악성코드는 발전을 해서 더욱더 정교 해질 수가 있습니다.

다음 보안센터 피싱 사이트 개인정보 전송 완료
다음 보안센터 피싱 사이트 개인정보 전송 완료

개인적으로 아직도 브라우저에서 피싱 사이트를 탐지 못하는 브라우저들이 있어서 ESET,Avira,Emsisoft,Google Safebrowsing,Microsoft Edge 등에서 제공을 하는 신고 기능을 이용해서 피싱 사이트를 신고를 했습니다.
2021-10-26 13:19:18 UTC 기준 바이러서토탈 기준으로 탐지되고 있는 업체들은 다음과 같습니다. 한국 보안 업체 알약에서 제공을 하는 쓰렛 인사이드(Threat Inside), 그리고 Fortinet입니다.
ESTsecurity-Threat Inside:Malicious
Fortinet:Phishing
해당 다른 주소 방식으로 악성코드들은 유포를 하고 있으므로 기본적으로 브라우저 및 백신 프로그램에서 제공을 하고 있는 피싱사이트 차단 기능은 활성화해서 사용을 하는 것이 안전하게 컴퓨터 및 스마트폰을 사용을 하는 방법 일 것입니다. 참고로 Symantec Sitereview 즉 노턴 시만텍을 사용을 하고 계시는 분들은 이미 해당 사이트를 疑わしい (Suspicious) および スパム (Spam)(Suspicious and Spam )로 분류해서 탐지하고 있습니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band