라쿠텐(Rakuten) 계정 탈취 목적인 피싱 사이트-rakoten co ip eupphyju ml(2022.12.04)

오늘은 일본의 인터넷 종합 서비스 제공 업체이면서 일본 최대 인터넷 쇼핑몰인 라쿠텐 이치바(楽天市場) 와 종합 여행 사이트 라쿠텐 트래블(楽天トラベル), 일본 내 최대 고객 수를 확보 중인 라쿠텐 카드(楽天カード), 일본 최초의 캐쉬리스 결제 서비스 중 하나인 라쿠텐 에디(楽天Edy) 등이 대표적인 서비스의 계정을 탈취하기 위해서 만들어진 피싱 사이트인 rakoten co ip eupphyju ml 피싱 사이트에 대해 글을 적어 보겠습니다. 일단 피싱 사이트 주소는 다음과 같습니다.
언제나 피싱 사이트에서 가장 많이 보이는 인증서인 Let's Encrypt를 사용하고 있으며 Let's Encrypt는 사용자에게 무료로 TLS 인증서를 발급해주는 비영리기관이며 몇 가지 TLS 인증서 종류 중에서 완전 자동화가 가능한 DV (Domain Validated, 도메인 확인) 인증서를 무료로 발급이 진행되며 모질라 재단, 페이스북, 구글 등 많은 업체가 스폰서로 등록된 인증서를 사용할 줄 알았지만, 인증서 자체를 사용하지 않는 것으로 확인되었습니다. 즉 Let's Encrypt는 보안 웹사이트를 위한 인증서의 수동 생성, 유효성 확인, 디지털 서명, 디지털 서명 설치, 디지털 서명 업데이트 등 종전의 복잡한 과정을 없애주는 자동화된 프로세스를 통해 전송 계층 보안(TLS) 암호화를 위해 무료 X.509 인증서를 제공하는 인증 기관이고 일단 Let's Encrypt이라는 인증서가 나쁜 것은 아니지만, 해당 인증서를 이용해서 피싱 사이트를 제작을 해서 개인정보를 훔치는 악의적 목적으로 가진 사용자들은 항상 해당 부분을 악용하고 있습니다.

라쿠텐(Rakuten) 계정 탈취 목적인 피싱 사이트

즉 정상적인 https로 위장을 하려고 악용이 되는 부분입니다. 유포 사이트는 다음과 같습니다.

https://rakoten.co(.)ip(.)eupphyju.ml/

사이트에 접속하면 오른쪽 위에 보면 일본어, 영어, 중국어를 언어 설정을 변경할 수가 있게 해두었지만, 그냥 일본어만 나옵니다. 왜 피싱 사이트 이기 때문이면 웹 소스를 보면 그냥 일본어밖에 없습니다. 여기서 아이디, 비밀번호를 입력하면 다음과 같은 화면과 글자를 볼 수가 있습니다.

라쿠텐(Rakuten) 계정 탈취 목적인 피싱 사이트 인증서 정보

그리고 언제나 다음과 같은 글을 확인할 수가 있습니다.

Rakutenのセキュリティシステム。 私たちは最近、珍しいログイン活動を発見しました。 アカウントを保護するには、必要な手順を続けてください。
お支払い方法を更新してください！
中断して申し訳ありませんが、お支払い方法の認証に問題があります. お客様の情報を保護するため、お客様の情報が当社のシステムに対して検証されるまで、当社のシステムは一時的にお客様のアカウントに制限を設けています. この手順を完了した直後にアカウントを元に戻すことができます.
(Rakuten의 보안 시스템. 우리는 최근 특이한 로그인 활동을 발견했습니다. 계정을 보호하려면 필요한 단계를 계속하세요.
결제 방법을 업데이트하세요!
죄송합니다. 결제 방법을 인증하는 데 문제가 있습니다. 귀하의 정보를 보호하기 위해 귀하의 정보가 당사 시스템에 대해 검증될 때까지 당사 시스템은 일시적으로 귀하의 계정에 제한이 있습니다. 이 절차를 완료한 직후 계정을 취소할 수 있습니다.)

라쿠텐 피싱 사이트 개인정보 주소 수집

즉 한국으로 치면 네이버, 카카오 톡 등의 피싱 사이트 하고 비슷합니다.
즉 보안 시스템에서 로그인에 문제가 발생해서 계정을 보호하려고 하면 결제 방법을 선택해 달라는 것을 볼 수가 있습니다.
그리고 다음으로 진행하면 여기서 이메일 주소, 우편번호, 사는 곳, 생년월일, 전화번호 입력을 요구하면 동의를 하고 진행을 하면 다음의 주소로 이동하는 것을 볼 수가 있습니다.

라쿠텐 피싱 사이트 신용카드 정보 수집

그리고 楽天会員規約/楽天スーパーポイント利用規約/楽天アフィリエイトパートナー規約
楽天会員規約
(라쿠텐 회원 규약/라쿠텐 슈퍼 포인트 이용 규약/라쿠텐 제휴 파트너 규약
라쿠텐 회원 규약)
이라고 해서 나름대로 약관을 준비해둔 것을 볼 수가 있습니다.

라쿠텐 피싱 사이트 신용카드 정보 수집 웹 소스

그리고 마지막 작업으로 신용카드 정보를 훔치려고 신용카드 회사(VISA,MASTER,JCB,Diners,AMEX) 가 준비된 것을 확인할 수가 있습니다. 그리고 신용카드에서 중요한 것 중 하나인 CVC 코드, 카드 유효기간을 수집하는 것을 확인할 수가 있습니다.
해당 부분에 신용카드 정보를 입력하면 다음 사이트로 이동합니다.

라쿠텐 피싱 사이트 본인 인증 화면

Added 3D Secure Protection이라고 해서 화면을 보여주고 내용은 다음과 같습니다.
Added 3D Secure Protection
■本人認証を行います。Secureのパスワードをご入力ください。会員専用サイトのパスワードとは異なりますのでご注意ください。
■ジャパンネット銀行のデビットでは、安全にインターネット決済をご利用いただけるよう認証サービスを通じてご本人さま確認を行っております。
■ログインID、ワンタイムパスワードが、加盟店へ通知されることはありません。
Added 3D Secure Protection
■ 본인 인증을 실시합니다. Secure 비밀번호를 입력하십시오. 회원 전용 사이트의 비밀번호와 다르므로 주의해 주십시오.
■ 재팬 넷 은행의 직불에서는 안전하게 인터넷 결제를 이용할 수 있도록 인증 서비스를 통해 본인 확인을 실시하고 있습니다.
■ 로그인 ID, 일회용 비밀번호가 가맹점에 통지되지 않습니다.

라쿠텐 피싱 사이트 개인정보 최종 수집 완료

그리고 마지막으로 로그인과 그리고 비밀번호를 확인합니다.
그리고 2022-12-04 06:31:33 UTC 기준 바이러스토탈(Virus Total)에서 탐지하는 보안 업체들은 다음과 같습니다.

V3 피싱 사이트 탐지 및 차단

Avira:Phishing
Emsisoft:Phishing
ESET:Phishing
Fortinet:Phishing
G-Data:Phishing
Google Safebrowsing:Phishing
Kaspersky:Phishing
Lionic:Phishing
Netcraft:Malicious
SCUMWARE.org:Malware
Seclookup:Malicious
Segasec:Phishing
Sophos:Malware
Webroot:Malicious

[브라우저 부가기능/파이어폭스 부가기능] - 악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

악성 사이트(피싱사이트)등으로 부터 보호해주는 파이어폭스 부가기능-Emsisoft Browser Security

이며 일단 마이크로소프트 스마트스크린(SmartScreen)에는 신고를 완료했습니다. V3에서도 정상적으로 해당 피싱 사이트를 정상적으로 탐지 및 차단을 하고 있습니다. 기본적으로 이런 피싱 사이트에서 피해를 최소화하려면 반드시 브라우저에 있는 기본 피싱 사이트 및 악성코드 유포 사이트 차단 기능을 활성화돼 있는 것을 비활성화하는 것을 하지 말아야 하면

그리고 브라우저에서 Emsisoft Browser Security 같은 부가기능을 설치해서 운영하는 것도 좋은 방법이면 그리고 백신 프로그램에서도 피싱 사이트들을 차단을 하고 있으니 기본적으로 실시간 감시 및 실시간 업데이트 상태로 유지하는 것을 추천하면 윈도우 에서도 스마트스크린 기능을 끄지 말고 사용을 하는 것이 안전합니다.