꿈을꾸는 파랑새

오늘은 아마존 재팬 피싱 사이트인 q.pfaerez(.)cn에 대해 알아보겠습니다. Amazonジャパン,아마존 재팬은 2001년에 일본 시장에 진출했고 음반, 게임 심지어 상업지 같은 것도 판매하고 있으면 오덕후 분들은 을 비롯한 지름신이 한번 강림을 하면 자주 가게 되는 사이트입니다. 지급 방법은 다음과 같습니다.
신용카드 (체크카드)
비자카드, 마스터카드, JCB, 아메리칸 엑스프레스, 다이너스 클럽, 유니온페이 카드로 결제 가능
편의점 결제(コンビニでのお支払い)
대금교환(代金引換)
Pay-easy(ペイジー)
인터넷뱅킹 결제(ネットバンキングでのお支払い)
전자화폐 지불(電子マネーでのお支払い)
휴대폰 결제
아마존 상품권

아마존 재팬 피싱 사이트 메인 화면
아마존 재팬 피싱 사이트 메인 화면

그리고 많은 분들이 아마존 재팬을 통해서 물건을 많이 해외 직구 하거나 또는 구매 대행 사이트들을 이용해서 자신이 원하는 물건을 구매하고 있을 것입니다. 일단 오늘은 아마존 피싱 사이트인 q.pfaerez 에 대해 글을 적어 보겠습니다.
일단 해당 피싱 사이트 인증서는 Let's Encrypt을 사용을 하고 있으며 Let's Encrypt 인증서는 사용자에게 무료로 TLS 인증서를 발급해주는 비영리기관이면서 몇 가지 TLS 인증서 종류 중에서 완전 자동화가 가능한 DV (Domain Validated, 도메인 확인) 인증서를 무료로 발급해주고 있으며 모질라 재단, 페이스북, 구글 등 많은 업체가 스폰서로 등록되어 있으며 
루트 도메인 (네이키드 도메인) 특정 서브 도메인뿐만 아니라 하나의 인증서로 모든 서브 도메인에 사용 가능한 와일드카드 서브 도메인 인증서도 무료로 발급하고 있으며 최근 피싱 사이트에서 가장 많이 보이는 인증서 중 하나입니다.

아마존 피싱 사이트 인증서 내용
아마존 피싱 사이트 인증서 내용

인증서 정보는 다음과 같습니다.

일반 이름:q.obinra(.)cn
발급자 이름
국가:US
조직:Let's Encrypt
일반 이름:R3
유효 기간(시작): 2022-08-07부터 2022-11-05
인증서 용도
원격 컴퓨터에 사용자의 신분을 증명합니다.
원격 컴퓨터의 신분을 확인합니다.
2.23.140(.)1.2(.)1
1.3.6.1.4.1(.)44947.1(.)1.1

아마존 피싱 사이트 인증서 정보
아마존 피싱 사이트 인증서 정보

일단 메인 화면은 기본적으로 이메일을 입력하게 하고 다음에는 전화번호 그리고 신용카드 번호들을 입력하게 하면서 동시에 전화번호를 입력했으면 해당 번호로 일회용 비밀번호를 발급받는 과정을 거치데 돼 있습니다.

먼저 피싱 사이트 주소는 다음과 같습니다.

https://q.pfaerez(.)cn

 

그리고 

https://q.pfaerez(.)cn/signin/QSH/get_pass.php

주소 부분에서는 기본적으로 이메일 주소가 전송된 것을 확인할 수가 있으며 그리고 이메일과 비밀번호는 다음과 주소를 다 전송이 되는 것을 확인할 수가 있습니다.

아마존 재팬 피싱 사이트 이메일 입력 정보
아마존 재팬 피싱 사이트 이메일 입력 정보

https://q.pfaerez(.)cn/api.php?act=next_save&_r=0.6111862825564977

그리고 신용카드 정보는 다음 주소에 전송된 것을 확인할 수가 있습니다.

아마존 피싱 사이트 신용카드 정보 전송

https://q.pfaerez(.)cn/api.php?act=okok_save&_r=0.3545651317002775

웹 소스를 보면 閮典究鐣彿銇枔閬曘亜(정경, 부처) 같은 중국어 들이 포함된 것을 확인할 수가 있습니다.
대충 내용은 다음과 같습니다.

아마존 피싱 사이트 웹 소스 에 포함된 중국어
아마존 피싱 사이트 웹 소스 에 포함된 중국어

function verpostcode(){
    var postcode = $("#ap_zipcode");
    if(postcode.val().length==8){
        postcode.removeClass('error');
        var postcodeone = postcode.val().replace("-","");

        var addrone = document.getElementById("ap_stat");
        var addr = document.getElementById("ap_address");
        $.ajax({
            url: '../view/apiverify.php?act=next_save&_r=' + Math.random(),
            type: 'post',
            data: {
                postcode: postcodeone
            },
            success: function(res) {
                if(res == ''){
                    layer.msg('閮典究鐣彿銇枔閬曘亜');
                    return false;
                }
                var reg = /[\u4e00-\u9fa5]+/g;
                addr1 = res.match(reg);
                addrfg = String(addr1).split(',');
                for (var i = 0; i < addrone.options.length; i++) {
                    if (addrone.options[i].value == String(addrfg[0])) {
                        addrone.options[i].selected = true;
                        break;
                    }
                }
                addr.value = addr1;

            },
            error: function() {
                return false;
                // layer.msg('銈儸銈搞儍銉堛偒銉笺儔鐣彿銈掑叆鍔涖仐銇︺亸銇犮仌銇勩€�');
            }
        });

아마존 피싱 사이트 개인정보 입력
아마존 피싱 사이트 개인정보 입력

2022-08-07 15:54:12 UTC 기준으로 바이러스토탈(VirusTotal) 에서 탐지하는 보안 업체들은 다음과 같습니다.
BitDefender:Phishing
Fortinet:Phishing
G-Data:Phishing
Google Safebrowsing:Phishing
Seclookup:Malicious
Sophos:Spam

HTTP Debugger Pro 에 기록된 아마존 재팬 피싱 사이트 개인정보 전송
HTTP Debugger Pro 에 기록된 아마존 재팬 피싱 사이트 개인정보 전송

일단 Symantec Sitereview 에서는 Suspicious 로 탐지를 하고 있으며 개인적으로 Avira(아비라), ESET, Emsisoft(엠시 소프트),마이크로소프트 스마트 스크린 (Microsoft SmartScreen)에 신고를 했으며 Microsoft Edge(마이크로소프트 엣지) 브라우저에서도 분석팀에서 분석해서 등록하면 정상적으로 탐지할 것입니다.

일회용 비밀번호 입력요구
일회용 비밀번호 입력요구

이런 피싱,스팸 이메일을 막으려면 기본적으로 아웃룩, 선더버드, 네이버, 다음에서도 스팸 차단 서비스를 차단을 지원하고 있으니 해당 기능을 활성화해서 사용을 해야 하며 그리고 백신앱들을 설치를 해두면 접속을 했을 때 사용자가 실수가 악성코드 및 접속을 하는 것을 차단하는 데 도움이 될 것 이며 부가 기능들도 활용 하는것도 추천 합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band