꿈을꾸는 파랑새

반응형

오늘은 국민건강보험 공단 피싱 사이트 인 mox hkn2 cash(2022.09.25)에 대해 글을 적어 보겠습니다. 해당 피싱 사이트는 Web 발신으로 돼 있으며 내용은 다음과 같습니다.
[Web 발신]
[국민건강보험 공단]
신체검사 통지서
발송 완료
내용확인: mox.hkn2(.)cash
으로 내용으로 오며 해당 링크를 클릭하면 일단 여기서 컴퓨터 환경 또는 스마트폰(안드로이드) 환경인지 확인을 하면 아이폰의 iOS 이었을 때 그냥 https://www.kmi.or(.)kr/ 즉 KMI 한국의학연구소로 넘겨 버립니다.

국민 건강보험 공단 피싱 사이트국민 건강보험 공단 피싱 사이트 휴대폰 전화번호 입력 오류
국민 건강보험 공단 피싱 사이트

즉 안드로이드 스마트폰 사용자를 타켓으로 하는 피싱 사이트 입니다.
일단 해당 사이트에 접속하면 간단하게 건강예측과 건강기록으로 건강으로 관리하시라고 돼 있고 
아래로 쭉 내려 가면 핸드폰 번호를 입력해주세요 라고 돼 있는데 해당 피싱 사이트를 잘 보면 한국어 맞춤법이 이상하다는 것을 확인할 수가 있을 것입니다.
건강검진 필요성, 대사증후군 등이 있는데 어차피 해당 부분을 클릭하면 그냥 휴대폰 정보를 입력해달라고 합니다.

국민 건강보험 공단 피싱 사이트 웹소스국민 건강보험 공단 피싱 사이트 웹소스 2
국민 건강보험 공단 피싱 사이트 웹소스

그리고 휴대폰 정보를 입력하면 다음과 같은 에러 메시지가 나오는 것을 확인할 수가 있습니다.
입력번호오류다시 입력해주세요 (2회남음)。
그리고 피싱 사이트 웹 소스를 보면 다음과 같이 돼 있는데 여기서 ljyGp0(.)php 부분을 클릭하면

<form name="form11" method="post" action="ljyGp0(.)php" >
                    	<p class="txt"><img src="images/img_cont04(.)png" alt="" /></p>
                        <ul class="input_top">
                            <li class="box"><input type="text" id="mobile_no1" name="mobile_no1" placeholder="" title="" class="input_box" maxlength="10" value="010" readonly></li>
                            <li class="line">-</li>
                            <li class="box"><input type="text" id="mobile_no2" name="mobile_no2" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
                            <li class="line">-</li>
                            <li class="box"><input type="text" id="mobile_no3" name="mobile_no3" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
                        </ul>
                        <p><a href="javascript:form_Search();"><img src="images/img_btn01(.)png"></a></p>
                        <p><img src="images/img_bg(.)png" alt="" /></p>
                    </form>

이라고 돼 있고 해당 ljyGp0(.)php 부분을 접속을 해보면 다음과 같이 KMI 한국의학연구소 주소가 포함된 것을 확인할 수가 있습니다.

view-source:http://mox.hkn2(.)cash/ljyGp0.php
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<script>window.location='http://www.kmi(.)or.kr/';</script>

컴퓨터 환경에서 보면 다음과 같이 웹 소스를 보면 스크립트가 있는 것을 볼 수가 있습니다.

<script>window.location='https://www.kmi.or(.)kr/';</script>

그리고 http://mox.hkn2(.)cash/ljyGp0.php
에는 다음과 같이 개인정보가 전송되는 것을 확인할 수가 있습니다.

국민 건강 보험 공단 컴퓨터 접속시 리다이렉트
국민 건강 보험 공단 컴퓨터 접속시 리다이렉트

POST /ljyGp0(.)php HTTP/1.1
Host: mox.hkn2(.)cash
User-Agent: Mozilla/5.0 (Linux; Android 5.0.2; SAMSUNG SM-G925F Build/LRX22G) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/4.0 Chrome/44.0.2403.133 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded
Origin: http://mox.hkn2(.)cash
DNT: 1
Connection: keep-alive
Referer: http://mox.hkn2(.)cash/
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Content-Length: 46

mobile_no1=010&mobile_no2=1234&mobile_no3=1234

국민 건강보험 공단 피싱 사이트 개인정보 수집국민 건강보험 공단 피싱 사이트 개인정보 수집 1
국민 건강보험 공단 피싱 사이트 개인정보 수집

여기서 mobile_no1는 010 번호, mobile_no2는 전화번호 앞자리, mobile_no3는 전화번호 뒷자리인 것을 확인할 수가 있습니다.
그리고 2022-09-25 09:33:24 UTC 기준으로 바이러스토탈(VirusTotal)에서는 탐지 하는 보안 업체들은 없습니다.그래서 그냥 Avira,Emsisoft,Google Safebrowsing,ESET,Symantec Sitereview,마이크로소프트 스마트스크린(Microsoft Defender SmartScreen),이스트소프트 알약(ESTsecurity)에 신고했으며

일단 신고 접수 후 보안 업체 관계자들이 분석하고 적용을 하는데 시간에 걸린 것이며 이런 피싱,스팸 이메일을 막으려면 기본적으로 아웃룩, 선더버드, 네이버, 다음에서도 스팸 차단 서비스를 차단을 지원하고 있으니 해당 기능을 활성화해서 사용을 해야 하며 그리고 백신앱들을 설치를 해두면 접속을 했을 때 사용자가 실수가 악성코드 및 접속을 하는 것을 차단하는 데 도움이 될 것이며 부가 기능들도 활용하는 것도 추천합니다.

반응형
그리드형

댓글

비밀글모드