꿈을꾸는 파랑새

반응형

오늘은 야후 재팬 쇼핑 를 사칭하는 피싱사이트인 paypaystorejp 에 대해 알아보겠습니다. 그냥 피싱(Phishing) 사이트를 만들어서 사용자를 낚고 있습니다. 웹 사이트 접속을 하면 제목은 法人運営、信用保証&高品質保証 으로 돼 있는 것을 확인할 수가 있으며 해당 피싱 사이트 웹 소스를 보면 다음과 같이 있는 것을 볼 수가 있습니다.

피싱 사이트 주소는 다음과 같습니다.

https://paypaystorejp(.)co/
$('.silder-box-2').mySilder({
		width:200, //容器的宽度 必选参数!!!!!!
		height:200, //容器的高度 必选参数!!!!!!
		direction:'y',//滚动方向,默认X方向
		few:1,//一次滚动几个,默认滚动1张
		showFew:2, //显示几个,就不用调css了,默认显示一个
		clearance:10, //容器之间的间隙,默认为 0
		silderMode:'linear' ,//滚动方式
		timeGap:650,//动画间隙,完成一次动画需要多长时间,默认700ms
		auto:true,//是否自动滚动 
		autoTime:5, //自动滚动时,时间间隙,即多长滚动一次
		buttonPre:'.silder-button.btl',//上一个,按钮
		buttonNext:'.silder-button.btr',//下一个,按钮
		jz:true //点击时,是否等待动画完成
	});

야후 재팬 쇼핑 피싱사이트 메인 화면
야후 재팬 쇼핑 피싱사이트 메인 화면

즉 뜬금없이 중국어가 눈에 들어오는 것을 확인할 수가 있습니다.
예를 들어서 야후 재팬 쇼핑 피싱 사이트에서 개인적으로 좋아하는 ZARD를 입력을 하면 이상한 것들이 검색되는 방면에 정상적으로 서비스를 제공하는 야후 재팬 쇼핑 은 ZARD를 검색을 하면 ZARD 관련 상품들이 정상적으로 검색되는 것을 확인할 수가 있습니다.

야후 재팬 쇼핑 피싱사이트 상품 검색
야후 재팬 쇼핑 피싱사이트 및 야후 재팬 쇼핑 정상적인 사이트 검색 비교

뭐~어차피 피싱 사이트들의 목적은 로그인 정보, 개인정보, 카드 정보를 수집해서 다크웹에 판매를 하거나 범죄에 악용하는 것이 목적이므로 로그인 정보 등을 탈취하려고 시도를 할 것입니다.

그리고 해당 피싱 사이트에 접속을 하면 나름대로 새롭게 회원 가입 그리고 회원이 등록이 완료된 고객(会員登録がお済みのお客様) 이라고 해서 주문을 진행하기 위한 명분으로 이루어지는 것을 볼 수가 있습니다.

야후 재팬 쇼핑 피싱사이트 개인정보 수집
야후 재팬 쇼핑 피싱사이트 개인정보 수집

그리고 회원가입을 위해서 한번 클릭을 해 보면 이름, 전화번호, 집 주소, 우편번호, 국적, 일본의 현, 성별, 이메일 주소, 비밀번호 그리고 뉴스레터를 받는 방법도 있는 것을 볼 수가 있습니다.

여기서 HTTP Debugger Pro로 해당 부분을 보면 다음과 같이 앞서 회원가입? 을 위해서 입력한 개인정보, 집 주소, 전화번호들이 그대로 입력이 된 것을 확인할 수가 있습니다.

HTTP Debugger Pro 본 야후 쇼핑 피싱 사이트 에 전송된 개인정보
HTTP Debugger Pro 본 야후 쇼핑 피싱 사이트 에 전송된 개인정보

그리고 해당 부분을 통해서 로그인을 시도를 비밀번호가 최저 6문자 이상으로 입력해달라고 합니다. 즉 앞서 개인적으로 4단어만 입력을 했는데 그냥 가입이 된 것이고 정상적인 사이트이면 미리 4자리 이상 비밀번호를 입력하라고 주의를 미리 줄 것인데 이런 부분은 없는 것을 확인할 수가 있습니다.

야후 재팬 쇼핑 피싱사이트 비밀번호 오류
야후 재팬 쇼핑 피싱사이트 비밀번호 오류

그래서 비밀번호를 다시 6자리 이상 입력을 해 보았습니다. 그래도 나름대로 시스템이 있는지 이메일이 다르다고 나와서 다시 시도를 해 보았습니다. 그냥 존재하지 않은 메일이라고 나왔으며 그냥 정상적으로 작동하는 이메일이 필요해서 임시로 이메일 계정을 만들어서 시도해도 이메일 주소가 맞지 않다고 나오며 아마도 그냥 야후 재팬  쇼핑 에 필요한 계정을 탈취하기 위해서 제작이 된 것이라고 개인적으로 추측해 보았습니다.

HTTP Debugger Pro 로 본 야후 재팬 옥션 피싱 사이트 개인정보 수집
HTTP Debugger Pro 로 본 야후 재팬 옥션 피싱 사이트 개인정보 수집

즉 개인정보를 수집하는 주소는 다음과 같습니다.

https://paypaystorejp(.)co/?main_page=account

서비스 IP 주소(Serving IP Address)

172.67.188(.)66

인증서 발급 기관은 다음과 같습니다.
발급자 이름
국가: US
조직: Let's Encrypt
일반 이름: E1

2022-07-04 20:47:39 UTC 기준 바이러스토탈(Virus Total)에서 검사를 하면 아직은 어떠한 보안 업체에서도 탐지하고 있지 않았습니다. Symantec Sitereview 에서는 Suspicious and Shopping 로 돼 있어서 Phishing(피싱)으로 정정 요청을 했으며 PhishTank,EMSISOFT(엠시소프트),ESET,Avira,알약(이스트소프트),Bitdefender(비디펜더),마이크로소프트 에서 제공을 하는 Smartscreen(스마트스크린)에 신고를 했으면 스마트스크린 부분에서 정상적으로 피싱 사이트 등록이 되면 Microsoft Edge(마이크로소프트 엣지) 브라우저에서 정상적으로 차단이 될것입니다. OpenDNS 쪽에서 사용을 하고 있는 피시탱크(PhishTank) 쪽에도 신고는 했습니다.

일단 아직은 탐지가 되지 않는 피싱 사이트 이므로 조심을 할 필요가 있으며 그리고 중요한 것은 기본적으로 보안 업체 백신 프로그램 제작사 등에서 제공하는 피싱 사이트 차단, 유해 사이트 차단 기능은 귀찮다고 활성화하지 않고 사용을 하는 것은 위험합니다.

아무튼, 의심스러운 메일은 함부로 열어 보지 말고 그리고 굳이 해외 직구 즉 직구를 하려면 기본적으로 검색 사이트를 통해서 정상적인 사이트로 접속하고 북마크 해서 사용을 하는 것도 좋은 방법일 것입니다.

반응형
그리드형

댓글

비밀글모드