꿈을꾸는 파랑새

오늘은 국민건강보험 공단 피싱 사이트 인 sioa i8pb city(2022.09.27)에 대해 글을 적어 보겠습니다. 해당 피싱 사이트는 Web 발신으로 돼 있으며 내용은 다음과 같습니다.
[Web 발신]
[국민건강보험 공단]
신체검사 통지서
발송 완료
내용확인:sioa.i8pb(.)city/
피싱 사이트 주소는 다음과 같습니다.

http://sioa.i8pb(.)city/

국민건강보험 공단 피싱 사이트
국민건강보험 공단 피싱 사이트

으로 내용으로 오며 해당 링크를 클릭하면 일단 여기서 컴퓨터 환경 또는 스마트폰(안드로이드) 환경인지 확인을 하면 아이폰의 iOS 이었을 때 그냥 https://www.kmi.or(.)kr/ 즉 KMI 한국의학연구소로 넘겨 버립니다.
이유는 간단합니다.

국민건강보험 공단 피싱 사이트 에 포함된 리디렉션 코드
국민건강보험 공단 피싱 사이트 에 포함된 리디렉션 코드

http://sioa.i8pb(.)city/w6jxwG.php 부분을 보면 다음과 같은 자바스크립트가 있는 것을 볼 수가 있습니다.
스마트폰 접속 시 코드

<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<script>window.location='http://www.kmi.or(.)kr/';</script>
컴퓨터 환경에서 접속 시 코드
<script>window.location='https://www.kmi.or(.)kr/';</script>

해당 자바스크립트는 
/HTTP Redirect를 클라이언트에서 처리할 때 예시로 들면 다음과 같습니다.

window.location=https://wezard4u.tistory.com

즉 해당 부분은 제가 운영하는 블로그로 연결을 하게 됩니다. 즉 사용자가 리디렉션 페이지로 돌아갈 수 있게 하려면 window.location.href 또는 window.location.assign 돌아갈 수 있게 하는 것입니다.
그리고 메인 화면은 지난 시간에 소개해 드린 국민건강보험 피싱 사이트 하고 똑같은 것을 확인할 수가 있습니다. 그리고 안드로이드 스마트폰 사용자를 타켓으로 하는 피싱 사이트 입니다.

국민건강보험 공단 피싱 사이트 입력 번호 오류
국민건강보험 공단 피싱 사이트 입력 번호 오류

일단 해당 사이트에 접속하면 간단하게 건강예측과 건강기록으로 건강으로 관리하시라고 돼 있고 
아래로 쭉 내려가면 핸드폰 번호를 입력해주세요 라고 돼 있는데 해당 피싱 사이트를 잘 보면 한국어 맞춤법이 이상하다는 것을 확인할 수가 있을 것입니다.
건강검진 필요성, 대사증후군, 출산비 등이 있는데 어차피 해당 부분을 클릭하면 그냥 휴대폰 정보를 입력해달라고 합니다.
그리고 웹 사이트 소스를 보면 다음과 같은 항목들이 있는 것을 볼 수가 있습니다. 어차피 똑같습니다.

피싱 사이트 웹소스 전화 번호 입력 양식
피싱 사이트 웹소스 전화 번호 입력 양식

<form name="form11" method="post" action="w6jxwG(.)php" >
                    	<p class="txt"><img src="images/img_cont04(.)png" alt="" /></p>
                        <ul class="input_top">
                            <li class="box"><input type="text" id="mobile_no1" name="mobile_no1" placeholder="" title="" class="input_box" maxlength="10" value="010" readonly></li>
                            <li class="line">-</li>
                            <li class="box"><input type="text" id="mobile_no2" name="mobile_no2" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
                            <li class="line">-</li>
                            <li class="box"><input type="text" id="mobile_no3" name="mobile_no3" placeholder="" title="" class="input_box" maxlength="4" value=""></li>
                        </ul>
                        <p><a

여기서 mobile_no1=010 즉 해당 부분은 휴대전화에서 부여하는 식별번호이고, mobile_no2=전화번호 앞자리 4자리, mobile_no3=전화번호 뒷자리 4자리이며 maxlength="4"에 최고 4개의 숫자가 입력하게 돼 있습니다.
그리고 일단 개인적으로 정상적인 번호를 입력했어 서도 해당 부분에서 입력 오류가 나오는 것을 확인했으며 그리고 언제나 에러 메세지는 다음과 같습니다.
입력번호오류다시 입력해주세요 (2회남음)。
여기서 입력 번호 초과 시 KMI 한국의학연구소 넘겨 버립니다.
전화번호 전송은 되는 것을 확인할 수가 있습니다.

http://sioa.i8pb(.)city/w6jxwG.php

국민건강보험 공단 피싱 사이트 전화 번호 수집
국민건강보험 공단 피싱 사이트 전화 번호 수집

그리고 전송되는 정보는 다음과 같습니다.

POST /w6jxwG.php HTTP/1.1
Host: sioa.i8pb(.)city
User-Agent: Mozilla/5.0 (Linux; Android 5.0.2; SAMSUNG SM-G925F Build/LRX22G) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/4.0 Chrome/44.0.2403.133 Mobile Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded
Origin: http://sioa.i8pb(.)city
DNT: 1
Connection: keep-alive
Referer: http://sioa.i8pb(.)city/index.php
Cookie: PHPSESSID=5r7k1r68v8kcpfbausplijg812
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate
Content-Length: 46

mobile_no1=010&mobile_no2=1234&mobile_no3=5678

즉 여기서 mobile_no1는 010 번호, mobile_no2는 전화번호 앞자리, mobile_no3는 전화번호 뒷자리인 것을 확인할 수가 있습니다.

국민건강보험 공단 피싱 사이트 전화 번호 수집 2
국민건강보험 공단 피싱 사이트 전화 번호 수집 2

그리고 2022-09-27 04:06:59 UTC 기준으로 바이러스토탈(VirusTotal) 에서는 탐지하는 보안 업체들은 없습니다. 그래서 그냥 Avira,Emsisoft,Google Safebrowsing,ESET,Symantec Sitereview,마이크로소프트 스마트스크린(Microsoft Defender SmartScreen)에 신고했으며
일단 신고 접수 후 보안 업체 관계자들이 분석하고 적용을 하는데 시간에 걸린 것이며 이런 피싱,스팸 이메일을 막으려면 기본적으로 아웃룩, 선더버드, 네이버, 다음에서도 스팸 차단 서비스를 차단을 지원하고 있으니 해당 기능을 활성화해서 사용을 해야 하며 그리고 백신앱들을 설치를 해두면 접속을 했을 때 사용자가 실수가 악성코드 및 접속을 하는 것을 차단하는 데 도움이 될 것이며 부가 기능들도 활용하는 것도 추천합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band