네이버 고객센터 사칭 피싱 메일 분석-user2list kro kr(2022.10.30)

오늘은 네이버 고객센터로 속여서 개인정보 즉 ID, 비밀번호를 훔쳐가는 피싱 사이트 를 탈취를 하려고 제작된 피싱 사이트 에 대해 알아보겠습니다.개인적으로는 한꺼번에 두개의 피싱 메일을 받았으며 그중 한가지를 해볼까 합니다.
일단 해당 메일의 내용은 다음과 같습니다.

네이버 피싱 메일 [알림]휴대전화 연락처번호가 변경되었습니다.

 

새로운 일회용 비밀번호가 생성되었습니다.
회원님의 아이디? 로(으로) 새로운 일회용 비밀번호가 생성되었습니다.
상세 정보
일시: 2022-10-30 10:40
위치: 태국 방콕 (134.48.97(.)253)
보안 활동: 일회용 비밀번호 생성
본 메일은 보안상 중요한 계정활동이 진행된 경우에 발송됩니다.
회원님이 일회용 비밀번호를 생성하셨다면 이 메일을 무시하셔도 됩니다.
1. 실수로 일회용 비밀번호를 생성하신 경우, 삭제해 주세요.
일회용 비밀번호 삭제하기 >>
2. 타인의 활동으로 의심되는 경우, 비밀번호를 변경하여 아이디를 보호하세요.
비밀번호 변경 바로 가기 >>
아이디(ID) 도용을 막기 위한 팁(tip) 세가지! 자세히보기
네이버를 이용해 주셔서 감사합니다.
더욱 편리한 서비스를 제공하기 위해 항상 최선을 다하겠습니다.
본 메일은 발신전용 입니다. 네이버 서비스관련 궁금하신 사항은 네이버 고객센터에서 확인해주세요.
Copyright ⓒ NAVER Corp. All Rights Reserved.

그리고 해당 메일에서 사용을 하는 주소는 다음과 같습니다.

네이버 피싱 사이트 접속 화면

https://rebrand(.)ly/l8boaw?(단축주소)

로 돼 있었으며 이걸 원래 주소로 복원하면 다음과 같습니다.

https://wvw1.user2list(.)kro.kr/?encode=585FE974760D76CD7CC?????B61E3B99148&m=verify&token=c29reW80dQ==&last=info

식으로 
로 구성이 돼 있으며 여기서는 회원정보를 눌러주면 정상적인 네이버 사이트로 이동하게 되며 비밀 번호 부분에서는 비밀번호를 탈취하기 위해서 일단 희생양이 된 이메일 주소는 미리 작업이 돼 있고 비밀번호만 입력하게 작업이 돼 있습니다.
사이트 base64-embedded 로 구성이 돼 있습니다.

네이버 피싱 사이트 비빌번호 전송

그리고 여기서 비밀번호를 입력하게 되면 아이디(로그인 전용 아이디) 또는 비밀번호를 잘못 입력했습니다.
입력하신 내용을 다시 확인해주세요. 
라는 메시지와 함께 네이버 개인정보는 넘어가게 돼 있습니다.
바이러스토탈(VirusTotal) 2022-10-30 08:13:27 UTC 기준으로 다음과 같은 보안 업체가 차단을 하고 있습니다.
Webroot:Malicious
ESET,Emsisoft,Google Safebrowsing 에는 신고를 했습니다. 일단 이런 네이버 피싱 메일들의 공통점은 다음과 같습니다.

새로운 환경에서 로그인 되었습니다.
새로운 환경에서 접속이 시도되었습니다. 
새로운 환경에서 접속시도가 차단되었습니다. 
새로운 기기에서 로그인이 시도되었습니다. 
새로운 기기에서 접속이 시도되었습니다.
새로운 기기 로그인 알림 기능이 해제되었습니다. 
새 인증서를 확인해 주세요
메일함 용량이 초과하였습니다. 
일회용 로그인 번호에 의한 접속이 시도되었습니다. 
등록되지 않은 기기에서 접속이 시도되었습니다. 
해외지역에서 접속시도를 차단하였습니다.
차단한 해외 지역에서 로그인이 시도되었습니다.
로그인 제한 안내

같은 정상적인 네이버에서 보낸 것 같은 메시지를 볼 수가 있지만 여기서 사용자가 발신한 사람의 이메일을 잘 보면 다음과 같이 돼 있을 것입니다.

N-메일 고객센터 <vo146soqn@mootttr(.)site>
N-메일 고객센터 <928jaw0o@qfslkm(.)tech>

네이버에서 보내는 메일은 보내는 이는 네이버 로 돼 있으며 이메일 주소는 다음과 같습니다.

account_noreplay@navercorp(.)com

으로 돼 있으며 진짜 네이버에서 이메일 오면 네이버 마크가 붙여져 있는 것을 확인할 수가 있습으며 진짜 네이버 고객센터는 자신의 닉네임 그리고 아이디는 일부는 별 표시 됩니다.쉽게 이야기 하면 다음과 같습니다.

홍길동(abc***)이런식이 됩니다.

물론 이것은 브라우저 나 네이버에서 제공하는 앱에서 이메일을 하면 이렇게 돼 있는 것을 쉽게 확인할 수가 있겠지만,

정상적인 네이버 인증서

만약 다른 이메일 관리 프로그램을 사용한다고 하면 이런 것을 볼 수가 없어서 피싱 메일인지 확인을 하고 싶은 경우에는 보낸 사람의 이메일 주소를 잘 확인하면 쉽게 판단을 할 수가 있을 것이면 네이버에서 사용하는 인증서는 DigiCert Inc이며 인증서 내용을 보면 다음과 같습니다.

주체 이름
국가:KR
시/도:Gyeonggi-do
구/군/시:Seongnam-si
조직:NAVER Corp.
일반 이름:*.www.naver(.)com

이라는 것을 확인을 한번 해 주시는 것도 좋은 방법일 것입니다. 그리고 피싱 메일을 분석을 위해서 이메일 헤더를 열어 보았습니다.
여기서 알 수 있는 것은 다음과 같습니다.

네이버 피싱 메일 헤더

Received-SPF:naver(.)com@use.windowglass(.)uno
Authentication-Results:mx.naver(.)com;
X-Session-IP:198.61.254(.)54
그리고 이메일을 발송한 서버는 다음과 같습니다.
Received: from so254-54.mailgun(.)net (so254-54.mailgun(.)net [198.61.254(.)54])
  by crcvmail204.nm.naver(.)com with ESMTP id 9w6aBLAeToeu-dfzCqoeLQ
  for <???????@naver(.)com>;
  Sun, 30 Oct 2022 00:23:21 -0000

from: 메일을 발송하는 서버의 주소 또는 호스트이름을 명시하는 부분으로 메일을 처음 발송하는 부분이 될 수도 있고 중간 경유지가 될 수도 있으면 그러면 해당 피싱 메일은 so254-54.mailgun(.)net (so254-54.mailgun(.)net [198.61.254(.)54]) 서버 주소 확보
by crcvmail204.nm.naver(.)com with ESMTP id 9w6?????-dfz?????:해당 메일을 받는 서버의 호스트이름이나 주소,SMTP와 같은 메일 프로토콜 확보 및 메일이 발송되는 서버나 수신되는 서버에서 해당 메일이 구분할 수 있는 고유한 식별자(Message-ID)
수신받는 사용자의 이메일 주소:???????@naver(.)com 확보
해당 메일이 수신된 날짜와 시간: Sun, 30 Oct 2022 00:23:21 -0000(한국시각으로 2022년10월30일 일요일 오전 09:23:21 보낸 것 확인)
즉 Received: from은 제일 아랫부분에서 위쪽으로 순서대로 이메일이 전송된 되는 과정을 거치므로 실제 해당 이메일 또는 피싱 메일을 처음 발송한 곳은 이메일 헤더 제일 아래에 있는 Received: from을 보면 된다는 것입니다.
즉 이런 피싱 메일 피해를 줄이는 방법은 간단합니다. 먼저 네이버, 다음, 구글, 마이크로소프트 등과 같은 서비스에서는 기본적으로 2단계 인증과 같은 보안 설정을 지원하고 있으며 만 약이 아닌 필수적으로 등록해서 사용하는 것이 좋습니다.