꿈을꾸는 파랑새

오늘은 네이버 고객센터로 속여서 개인정보 즉 ID, 비밀번호를 훔쳐가는 피싱 사이트 를 탈취를 하려고 제작된 피싱 사이트 에 대해 알아보겠습니다. 일단 개인적으로 2022.11.09 18:30분에 받았는데 인간의 3대 욕구 중 하나인 수면욕을 채운다고 바로 하지 않고 4시간 있다고 하니까 결국 피싱 사이트는 정상적인 네이버 연결이 되었습니다. 즉 피싱 사이트 연결은 되나 바로 네이버로 리다이렉트 수면욕만 아니었으며 피싱 사이트에 접속을 할 수가 있었는데 안타깝다는.
일단 해당 메일의 내용은 다음과 같습니다.
아무튼, 지금 가지는 정보로 분석 시작
일단 제목은 언제나 똑같은 네이버 연락처 휴대전화 번호가
변경되었습니다. 한마디로 당신의 네이버 전화번호가 바뀌었다. 그러니 로그인해서 휴대폰 전화번호 바꾸어라 돼 있겠지만….

네이버 피싱 메일 휴대전화 연락처번호가 변경되었습니다
네이버 피싱 메일 휴대전화 연락처번호가 변경되었습니다

해당 링크를 타고 들어가면 아마도 아이디 등록된 화면에 비밀번호 입력을 하라고 할 것입니다. 내용은 다음과 같습니다.

네이버 연락처 휴대전화 번호가
변경되었습니다.
휴대전화 번호 변경에 따른 안내
변경 일시	2022-11-09 18:30
변경 방법	내정보>회원정보>연락처 수정
회원님이 직접 휴대전화 번호를 변경한 적이 없는데 이 메일을 받았다면 다른 사람에 의해 휴대전화 번호가 변경되었을 수 있습니다.
다른 사람이 내 회원정보에 접근한 것은 아닌지 점검해 주세요.
휴대전화 번호 확인하러 가기 >
네이버를 이용해 주셔서 감사합니다.
더욱 편리한 서비스를 제공하기 위해 항상 최선을 다하겠습니다.
본 메일은 발신전용 입니다. 네이버 서비스관련 궁금하신 사항은 네이버 고객센터에서 확인해주세요.
Copyright ⓒ NAVER Corp. All Rights Reserved.

그리고 해당 메일에서 사용을 하는 주소는 다음과 같습니다.
그럼 피싱 사이트 동작 조건은 다음과 같습니다.

https://rebrand(.)ly/pbnypmw

언제나 단축 주소로 오시고 그리고 해당 앞서 이야기한 것처럼 정상적인 네이버 사이트로 연결인 된다고 했지만 그래도 원본 주소를 알아내는 방법은 있는지라 이걸 복원하면 다음과 같이 되실 것입니다.

https://wvw3.secure-edit.n-e(.)kr/?session=3F8206CD1C2612924A???????????????F20&m=verify&token=c29reW???????==&last=info

그리고 사이트 정보는 base64-embedded로 돼 있는 것으로 확인 완료
일단 개인적으로 가지는 정보 가지고 분석으로 진행하기로 했음. 괜히 잠을 계속 자서 피싱 사이트에 접속을 할 수가 있었는데….
여기서는 회원정보를 눌러주면 정상적인 네이버 사이트로 이동하게 되며 비밀 번호 부분에서는 비밀번호를 탈취하기 위해서 일단 희생양이 된 이메일 주소는 미리 작업이 돼 있고 비밀번호만 입력하게 작업이 돼 있습니다. 여기서 개인적인 추측으로는 비밀번호를 입력하게 되면 아이디(로그인 전용 아이디) 또는 비밀번호를 잘못 입력했습니다.
입력하신 내용을 다시 확인해주세요. 라고 에러가 발생할 것입니다. 왜 어차피 로그인이 안 되는 피싱 사이트 이기 때문이죠.
네이버 피싱들의 공통점은 다음과 같습니다.

새로운 환경에서 로그인 되었습니다.
새로운 환경에서 접속이 시도되었습니다. 
새로운 환경에서 접속시도가 차단되었습니다. 
새로운 기기에서 로그인이 시도되었습니다. 
새로운 기기에서 접속이 시도되었습니다.
새로운 기기 로그인 알림 기능이 해제되었습니다. 
새 인증서를 확인해 주세요
메일함 용량이 초과하였습니다. 
일회용 로그인 번호에 의한 접속이 시도되었습니다. 
등록되지 않은 기기에서 접속이 시도되었습니다. 
해외지역에서 접속시도를 차단하였습니다.
차단한 해외 지역에서 로그인이 시도되었습니다.
로그인 제한 안내

입니다. 그리고 만약 진짜 네이버 사이트 인지 확인을 하려고 이메일 보낸 사람 부분을 살짝 눌러 보거나 아니면 보낸 사람을 보면 네이버 고객센터는 다음과 같습니다.

account_noreply@navercorp(.)com

으로 돼 있을 것이고 그리고 기본적으로 자신의 아이디는 일부 가려져 있는 것을 미리 확인할 수가 있습니다.
그리고 네이버 메일 앱 또는 네이버에 접속해서 이메일을 확인한다고 하면 진짜 네이버 마크가 붙여져 있는 것을 확인할 수가 있으며 진짜 네이버 고객센터는 자신의 닉네임 그리고 아이디는 일부는 별 표시 됩니다. 쉽게 이야기하면 다음과 같습니다.
홍길동(abc***) 이런식이 됩니다.
그리고 피싱 메일을 분석을 위해서 eml 파일 다운로드 해서 분석을 해 보았습니다. 무식하게 헤더 뜯어 보는 것보다는 문명인답게 툴을 사용을 하기로 했습니다.
물론 메모장 또는 notepad++(노트 패드++)로 확인을 할 수가 있겠지만 MailView 라는 프로그램으로 보기로 했습니다.
일단 이메일 정보는 다음과 같습니다.

MailView 로 피싱 메일 구성

제목:휴대전화 연락처번호가 변경되었습니다
보낸이:Naver센터 <6e9lhv32@iamfvk9.gov(.)kr>
메일 서비스:mx.naver(.)com
DKIM+SPF 방식으로 발신이메일주소(6e9lhv32@iamfvk9.gov(.)kr)가 인증된 메일입니다.

여기서 DKIM+SPF은 SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)는 이메일 발신자가 정말 자기 자신이 맞는지와 그리고 해당 이메일이 위조되지 않았는지 검증하기 위해 널리 사용되는 방법입니다.
원래 이메일은 위조가 쉬워서 이런 인증 시스템이 있습니다. 그냥 이런 것이 있다고 생각을 하시면 됩니다.

여기서 메일 헤더 읽는 방법은 위아래가 아니고 반대로 아래부터 우리로 올라가시면 됩니다. Mail View를 사용하기로 했습니다.
그냥 다 필요 없고 어차피 보낸 곳을 아는 것이 목적이므로 Received-SPF를 찾아 줍니다.

Received-SPF: pass (mx.naver(.)com: domain of bounce+06dcf3.93e3e7-몰라 돕니다.=naver.com@sladar.mathfunction.website designates 198.61.254(.)60 as permitted sender)
  client-ip=198.61.254(.)60; x-iptype=default;
Authentication-Results: mx.naver(.)com;
  spf=pass (mx.naver(.)com: domain of bounce+06dcf3.93e3e7-몰라도 되요?=naver(.)com@sladar.mathfunction.website designates 198.61.254(.)60 as permitted sender) smtp.mailfrom=bounce+06dcf3.93e3e7-아실필요 없어요=naver(.)com@sladar.mathfunction.website;
  dkim=pass header.i=@sladar.mathfunction(.)website
X-Naver-ESV: wm+n+6J4p63CbHmw7BwdbXFYKAvqKAKrjJ+Y
X-Session-IP: 198.61.254(.)60
Received: from a1.mail.mailgun(.)net (a1.mail.mailgun(.)net [198.61.254(.)60])
  by crcvmail106.nm.naver(.)com with ESMTP id mld?????+YRyC?????-HsT????
  for <정말 몰라도 되요.@naver(.)com>;
  Wed, 09 Nov 2022 09:30:36 -0000

인것을 확인을 할수가 있습니다.
from: 메일을 발송하는 서버의 주소 또는 호스트이름을 명시하는 부분으로 메일을 처음 발송하는 부분이 될 수도 있고 중간 경유지가 될 수도 있으면 그러면 해당 피싱 메일은 발송된 곳은 다음과 같습니다.

from a1.mail.mailgun(.)net (a1.mail.mailgun(.)net [198.61.254(.)60])

from a1.mail.mailgun(.)net (a1.mail.mailgun(.)net [198.61.254(.)60])
서버 확보
보니까 이번 피싱 메일도 지난번에 보낸 사람이 추측을 할수가 있음.
지난 IP 주소:198.61.254(.)54
최근 IP 주소:198.61.254(.)60

[소프트웨어 팁/보안 및 분석] - 네이버 고객센터 사칭 피싱 메일 분석-user2list kro kr(2022.10.30)

 

네이버 고객센터 사칭 피싱 메일 분석-user2list kro kr(2022.10.30)

오늘은 네이버 고객센터로 속여서 개인정보 즉 ID, 비밀번호를 훔쳐가는 피싱 사이트 를 탈취를 하려고 제작된 피싱 사이트 에 대해 알아보겠습니다.개인적으로는 한꺼번에 두개의 피싱 메일을

wezard4u.tistory.com

by crcvmail106.nm.naver.com with ESMTP id mld????+????????-H??????

해당 메일을 받는 서버의 호스트이름이나 주소, SMTP와 같은 메일 프로토콜 확보 및 메일이 발송되는 서버나 수신되는 서버에서 해당 메일이 구분할 수 있는 고유한 식별자(Message-ID)

수신받는 사용자의 이메일 주소:? 몰라도 됩니다.@naver(.)com 확보

해당 메일이 수신된 날짜와 시간: Wed, 09 Nov 2022 09:30:36 -0000
이것을 +9로 해주면 2022년11월9일 18:30:36 이번에는 저녁시간대 보낸 것을 확보
즉 Received: from은 제일 아랫부분에서 위쪽으로 순서대로 이메일이 전송된 되는 과정을 거치므로 실제 해당 이메일 또는 피싱 메일을 처음 발송한 곳은 이메일 헤더 제일 아래에 있는 Received: from을 보면 된다는 것입니다.
즉 이런 피싱 메일 피해를 줄이는 방법은 간단합니다. 먼저 네이버, 다음, 구글, 마이크로소프트 등과 같은 서비스에서는 기본적으로 2단계 인증과 같은 보안 설정을 지원하고 있으며 만약이 아닌 필수적으로 등록해서 사용하는 것이 좋습니다.

결론 해당 이메일 피싱 메일 보낸 사람은 정부 기관이 사용하는 도메인인 gov로 통해서 사람들을 속이고 있음. 그리고 해당 피싱 사이트는 해외이고 사이트는 있는 국가는 VPN에서 무조건 잘 터져야 하는 곳 일본 그리고 일본 다음으로 잘 나와야 하는 국가 중 하나인 조호르 해협 있는 곳입니다.
그리고 진짜 제일 중요한 것은 2단계 인증은 반드시 하시길 바랍니다. 진짜 이것만 설정해 두어도 비번 입력을 한다고 해도 마지막으로 여러분의 네이버 계정을 보호할 수 있는 수단입니다. 이거 설정하는데 5분도 안 걸립니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band