꿈을꾸는 파랑새

오늘은 오케이코인 거래소 피싱 사이트 인 okx2에 대해 글을 적어 보겠습니다.
OKX는 중앙화된 거래소로 가상화폐, 암호화폐 선물과 현물거래를 지원하며 점프스타트를 비롯해서 여러 가지 Cefi서비스도 제공하는 초대형거래소입니다.
해당 피싱 사이트는 가상 화폐를 노리고 만든 피싱 사이트가 아닌가 생각을 합니다.

https://okx2(.)top/

해당 사이트에 접속하면 여기서 컴퓨터, 노트북으로 접속하느냐 아니면 스마트폰으로 접속하느냐에 따라 달라집니다. 예를 들어서 컴퓨터로 접속하면 다음과 같은 화면이 표시됩니다.
Please use your mobile phone to open
한마디로 스마트폰으로 접속해라!

피싱 사이트 스마트폰 만 접속 허용
피싱 사이트 스마트폰 만 접속 허용

스마트폰으로 접속을 다음과 같은 화면을 볼 수가 있습니다.
보안 센터에 로그인
불필요한 손실을 피하고자 로그인하여 계정을 확인하고 유지하십시오. 참고: [OKX는 이 보안에 대해 책임을 지지 않습니다.]

오케이코인(OKX) 거래소 피싱 사이트 메인 화면
오케이코인(OKX) 거래소 피싱 사이트 메인 화면

웹 소스를 보면 다음과 같은 중국어 들이 있습니다.

执行代码:코드를 실행
그리고 언어 변경을 지원하기 위해서 다음과 같은 코드들이 삽입돼 있습니다.

오케이코인(OKX) 거래소 피싱 사이트 웹소스
오케이코인(OKX) 거래소 피싱 사이트 웹소스

function change(value) {
      $.get(
        "/api/login/lang.html",
        {
          lang: value,
        },
        function () {
          location.reload();
        }
      );

      var lang = value;

      var lib = new google.translate.TranslateService();

      // lib.translatePage("zh-cn", lang, function (v, k) {
      $html = "";
      //   if (k) {
      langArr.forEach((item, index, array) => {
        //执行代码
        let selected = "";
        if (item.alias == lang && item.alias != "") {
          selected = '<i class="icon iconfont icon-Selected select-icon"></i>';
        }
        $html +=
          '<li class="language" onclick="change(\'' +
          item.alias +
          "')\" >" +
          '<a class="language-link" ><span' +
          'class="text now-select-item">' +
          item.lang +
          "</span></a>" +
          selected +
          "</li>";
      });
      $("#lang-list").html($html);
      $("#lang-list-wap").html($html);
      //   }
      // });
    }</script><script src="https://translate.google(.)cn/translate_a/element.js?cb=gtElInit&client=wt"></script></html>

여기서 보면 보통 한국 IP 주소를 통해서 구글 번역을 하면 https://translate.google.co(.)kr 으로 나오는 것이 기본이지만 https://translate.google(.)cn 이 있는 것으로 보아서 중국인들이 해당 피싱 사이트를 만들지 않았나 생각을 합니다.
그리고 메인 화면에서 한국어 들이 이상하다는 것을 보면 금방 해당 사이트가 피싱(Phishing)인것을 눈치를 챌 수가 있습니다. 그리고 기타 카테고리들은 작동하지 않는 것을 쉽게 확인할 수가 있습니다.

피싱 사이트 인증서
피싱 사이트 인증서

그리고 언제나 피싱 사이트들이 자주 사용하는 인증서는 Let's Encrypt를 사용하고 있으며 Let's Encrypt 인증서는 사용자에게 무료로 TLS 인증서를 발급해주는 비영리기관이면서 몇 가지 TLS 인증서 종류 중에서 완전 자동화가 가능한 DV (Domain Validated, 도메인 확인) 인증서를 무료로 발급해주고 있으며 모질라 재단, 페이스북, 구글 등 많은 업체가 스폰서로 등록되어 있으며 
루트 도메인 (네이키드 도메인) 특정 서브 도메인뿐만 아니라 하나의 인증서로 모든 서브 도메인에 사용 가능한 와일드카드 서브 도메인 인증서도 무료로 발급하고 있으며 최근 피싱 사이트에서 가장 많이 보이는 인증서 중 하나입니다.
로그인을 시도 하면 그냥 처리 중 작업을 중단하지 마십시오..라는 메시지 밖의 안보입니다.

피싱사이트 개인정보 전송
피싱사이트 개인정보 전송

https://okx2(.)top/api/login/index.html

피싱사이트 개인정보 수집
피싱사이트 개인정보 수집

에서 개인정보가 전송되는 것을 확인할 수가 있으며 해당 사이트 쿠키 정보를 보면 다음과 같이 중국어: zh-CN (중국 본토, 간체)를 사용을 하는 것을 볼 수가 있습니다.

POST /api/login/index(.)html HTTP/1.1
Host: okx2(.)top
User-Agent: Mozilla/5.0 (Linux; Android 5.0.2; SAMSUNG SM-G925F Build/LRX22G) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/4.0 Chrome/44.0.2403.133 Mobile Safari/537.36
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Origin: https://okx2(.)top
DNT: 1
Connection: keep-alive
Referer: https://okx2(.)top/
Cookie: think_lang=zh-cn; PHPSESSID=728573ffe842a8bd40429c2bc562012f; think_l=ko
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Accept-Encoding: gzip, deflate
Content-Length: 43
email=test(%40)test(%40)com&password=TEST213123

2022-09-05 18:26:43 UTC 기준 바이러스토탈(Virus Total)에서 탐지하는 보안 업체들은 다음과 같습니다.

Microsoft Defender SmartScreen 피싱 사이트 차단구글 세이프 브라우징 피싱 사이트 차단
Microsoft Defender SmartScreen 피싱 사이트 차단 및 구글 세이프 브라우징 차단

Avira:Phishing
BitDefender:Phishing
CRDF:Malicious
CyRadar:Malicious
Emsisoft:Phishing
Fortinet:Phishing
G-Data:Phishing
Kaspersky:Phishing
Lionic:Phishing
Netcraft:Malicious
Seclookup:Malicious
Sophos:Phishing
여기서 표시 안 되었지만, Google Safebrowsing(구글 세이프 브라우징)에서는 정확하게 탐지를 하고 있으니 구글 크롬, 파이어폭스 등 구글 세이프 브라우징을 사용하시는 해당 기능 끄지 않는 이상 정확하게 탐지할 것입니다. 개인적으로 스마트폰에서 사용하는 ESET(이셋)에서 탐지를 하지 않아서 해당 사이트는 신고했으며 마이크로소프트 스마트스크린(SmartScreen)도 정상적으로 탐지하고 있습니다.

바이러스토탈에 탐지가 되지 않는 알약(이스트소프트,ESTsecurity)에서 신고하기 프로그램을 이용해서 신고를 진행했습니다. 해당 사이트는 스마트폰에서만 접속하게 돼 있는 것이 특징이었습니다.
이런 피싱,스팸 이메일을 막으려면 기본적으로 아웃룩, 선더버드, 네이버, 다음에서도 스팸 차단 서비스를 차단을 지원하고 있으니 해당 기능을 활성화해서 사용을 해야 하며 그리고 백신앱들을 설치를 해두면 접속을 했을 때 사용자가 실수가 악성코드 및 접속을 하는 것을 차단하는 데 도움이 될 것이며 부가 기능들도 활용하는 것도 추천합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band