꿈을꾸는 파랑새

반응형

오늘은 대한민국의 대표적인 암호화폐 거래소이면서 증권 플러스를 개발 및 운영하는 두나무가 해외 비트렉스(Bittrex)와 독점 제휴를 맺고 2017년 10월 암호화폐거래소 업비트(UPbit)를 사칭하는 피싱 사이트에 대해 알아보겠습니다. 해당 피싱 사이트는 업비트를 사칭하여 카카오톡 계정정보 유출을 시도하고 있습니다.

기본적으로 이메일을 통해서 보내고 있으며 귀하의 UPBIT 계정이 정지되었습니다. 이라는 형식으로 돼 있으면 이메일을 보면 한국어가 번역기로 돌린 것을 티가 팍팍 나는 이메일을 볼 수가 있으며 그리고 계속하려면 여기를 클릭하십시오. 이라고 돼 있습니다. 해당 부분을 눌러주면 실제 업비트 로그인 페이지와 매우 유사하게 제작된 피싱 페이지로 넘어가며 카카오톡 로그인으로 이동합니다.

업비트 피싱 사이트
업비트 피싱 사이트

https://aveiga(.)es/up.html 으로 연결이 되면 그리고 잠시만 기다려주세요.
보안을 위해 브라우저를 확인 중입니다.
이 과정은 자동으로 진행되며, 약 5초 정도 소요됩니다.
이라는 것을 화면이 보이는 것을 볼 수가 있고

가짜 카카오톡 로그인
가짜 카카오톡 로그인

그리고 나서 https://up-bit.web(.)app/upbit  카카오톡 계정으로 로그인을 클릭하게 돼 있습니다. 해당 카카오톡 계정을 입력하는 https://up-bit.web(.)app/auth 으로 연결이 되면 여기서 사용자가 카카오톡 계정 정보를 입력하면 다음과 https://ip-api(.)org/s3kr2.php?text=ㄴㄴㄴㄴㄴ 으로 연결이 되고 일정 시간이 지나고 확인 완료메시지와 함께 카카오톡 메시지가 발송되었다는 안내가 뜨며 공격이 종료됩니다. 

카카오톡 계정 정보 탈취
카카오톡 계정 정보 탈취

그리고 여기서 피해자가 입력한 개인정보 카카오톡 아이디, 카카오톡 비밀번호, 피해자 IP 주소가 전송되는 것을 확인할 수가 있습니다.
요즈음 카카오톡은 다양한 서비스들이 연동하면서 옛날의 단순 메신저가 아닌 하나의 인증서 역할을 하고 있으며 카카오 톡 계정이 유출되면 유출된 사용자의 계정정보를 이용하여 주변 사람들에게 피싱 메시지를 유포하거나 악성코드를 유포하는 경우 아니면 다른 기타 범죄에 악용해서 해당 정보를 이용하여 추가 공격이 가능한 만큼 사용자의 주의가 필요하면 반드시 백신 프로그램과 브라우저 피싱 사이트를 활성화해서 사용을 하시는 것을 추천합니다.
그리고 일단 바이러스토탈(VirusTotal) 에서 탐지하는 제품은 다음과 같습니다. (2022-04-19 14:08:03 UTC)
Fortinet:Phishing
이면 일단 안랩의 V3는 정상적으로 탐지하고 있으면 개인적으로 사용하는 ESET 제품이 탐지되지 않아서 신고를 완료했으며 Google 세이프 브라우징, 마이크로소프트에서 제공하는 보안 기능인 Smart screen(스마트스크린),Emsisoft 에서도 신고를 완료했습니다.

반응형
그리드형

댓글

비밀글모드

  1. 타깃이 안 될리가 없죠. 업비트 말고 빗썸이랑 다 있을 듯한 느낌이...
    2022.04.25 11:27 신고
    • 맞는 말씀입니다.전 세계 가상화폐 회사들이 공격 대상이다 보니.
      2022.04.25 23:11 신고