꿈을꾸는 파랑새

오늘은 북한 해킹 단체가 만든 카카오 톡 피싱 사이트 인 accountskakao bim mgn com(2023.2.2)에 대해서 알아보겠습니다. 일단 해당 피싱 사이트가 유포되는 사이트는 다음과 같습니다.사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도를 진행할 것으로 추측으로 합니다.
일단 오른쪽이 진짜 카카오 로그인 화면, 왼쪽은 당연히 피싱 사이트 입니다. 저는 직접적으로 접속을 해서 저런 화면이 나오는 것을 확인할 수가 있었으며 피싱 메일로 접속하면 카카오 계정의 ID가 자동완성 되어 있기 때문에 카카오 메일이 있을 때 메일 아이디만 입력하면 로그인할 수 있게 제작이 돼 있습니다.

일단 해당 피싱 사이트가 유포되는 사이트는 다음과 같습니다.

http://accountskakao.bim-mgn(.)com/login/?continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo

카카오톡 진짜 사이트 카카오톡 피싱 사이트 비교
카카오톡 진짜 사이트 카카오톡 피싱 사이트 비교

일단 로그인을 시도하면 다음과 같이 reCAPTCHA 에러를 볼 수가 있으며 사이트 소유자가 확인해야 하는 오류:
사이트 키의 도메인이 올바르지 않습니다.
라는 메시지를 볼 수가 있습니다.

아이디와 비밀번호를 입력한다고 전제에 그러면 다음 주소로 전송됩니다.

http://accountskakao.bim-mgn(.)com/idpw?id=TEST@gmail(.)com&pw=asdf!@

HTTP Debugger Pro 로 본 피싱 사이트 개인정보 전송개인정보 입력한 계정정보를 유출하는 과정
개인정보 입력한 계정정보를 유출하는 과정

이며 이렇게 되겠습니다.

GET /idpw?id=TEST@gmail(.)com&pw=asdf!@ HTTP/1.1
Host: accountskakao.bim-mgn(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Referer: http://accountskakao.bim-mgn(.)com/login/?continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo
DNT: 1
Connection: keep-alive
Cookie: _kadu=kB0GfdcXQJ6ybnaq_1675282826326; _kadub=kB0GfdcXQJ6ybnaq_1675282826326; _maldive_oauth_webapp_session_key=0fd01806ad386faef2a03eec034432bd; __T_=1
Accept-Encoding: gzip, deflate

이며 그리고 다음 json에 잘 정리 돼 있는 것을 확인할 수가 있습니다.

HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장
HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장

http://accountskakao.bim-mgn(.)com/api/v2/login/authenticate(.)json

그리고 회원가입, 계정 찾기, 비밀번호 찾기는 기존 피싱 사이트들은 해당 부분을 눌러주면 정상적인 카카오톡, 네이버 쪽으로 돌렸지만, 이제는 그런 것 없이 예를 들어서 계정 찾기를 클릭하면 다음과 같은 사이트로 이동합니다.

피싱 사이트 계정 찾기 화면카카오 비밀번호 찾을 수단 제시
피싱 사이트 계정 찾기 화면

unt_guide?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko#pageFindAccountSelect

그리고 해당 웹 소스를 보면 다음과 같이 잘 준비 돼 있는 것을 확인할 수가 있었습니다.

카카오톡 계정 찾기 수단 피싱 사이트 웹소스카카오 인증서로 본인인증 피싱 사이트 웹소스
카카오톡 계정 찾기 수단 피싱 사이트 웹소스

<body class="type_responsive">
  <div id="__next"></div>
  <script id="__NEXT_DATA__" type="application/json">{"props":{"pageProps":{"pageContext":{"commonContext":{"locale":"ko","uaClass":"os_windows  pc","responsiveView":true,"app":"web","os":"Windows","mobile":false,"supportNavigation":false,"supportFilePicker":true,"supportExecUrlScheme":false,"supportMarketUrlScheme":true,"showHeader":true,"_csrf":"e7b2c54e-5238-473b-8691-913451e06215","kage_file_max_size":100,"upload_kage_url":"https://up-api1-kage.kakao(.)com/up/kaccount-p/","p":"rabKZE8y57vKhjbHMkNFue7oimNakETD_iyk2nkkqQU"},"context":{"defaultEmail":null,"defaultStaySignIn":false,"defaultCountryCode":"KR_82","showQrLogin":true,"showWebTalkLogin":false,"needCaptcha":true,"showIpSecurity":false,"signupUrl":"http://accountskakao.bim-mgn(.)com/weblogin/create_account?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","findAccountUrl":"http://accountskakao.bim-mgn(.)com/weblogin/find_account_guide?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","findPasswordUrl":"http://accountskakao.bim-mgn(.)com/weblogin/find_password?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","qrLoginUrl":"http://accountskakao.bim-mgn(.)com/qr_login?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","loginUrl":"http://accountskakao.bim-mgn(.)com/login?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo","daumImageUrl":"https://logins.daum(.)net/accounts/endpoint/favicon.ico"}}}},"page":"/login/login","query":{},"buildId":"filw3MOMk166LJEO6gVeT","assetPrefix":"http://dnkakao.bim-mgn(.)com","nextExport":true,"isFallback":false,"gip":true,"scriptLoader":[]}</script>
 </body>
</html>

다음 파비콘 만 정상적인 다음 사이트에서 끌어 온 것을 확인할 수가 있습니다.
으로 이동을 하면 여기서 카카오톡 에서 계정 찾는 방법 그리고 계속 진행을 하면 정교하게 만든 카카오 계정을 찾을 방법을 선택해 주세요. 부분을 보면 다음가 같이 정리된 것을 확인할 수가 있습니다.
카카오 인증서로 본인인증
카카오 인증서의 본인확인정보로 빠르고 안전하게 계정을 찾습니다.
상세보기
휴대폰으로 본인인증
휴대폰에 등록된 본인확인정보로 계정을 찾습니다.
상세보기
닉네임 또는 이름 / 전화번호로 찾기
카카오 서비스에서 이용한 닉네임 또는 이름 및 전화번호로 계정을 찾습니다.
상세보기
닉네임 또는 이름 / 이메일로 찾기
카카오 서비스에서 이용한 닉네임 또는 이름 및 계정의 연락처 이메일로 계정을 찾습니다.
상세보기
안내 사업자 등록번호로 카카오계정 찾기
물론 해당 부분은 피싱 사이트 웹소스를 보면 인증서 찾기 수단들이 잘 정돈이 돼 있는 것을 확인할 수가 있으며 
카카오 인증서로 찾기를 선택하면 다음과 같이 나옵니다.
카카오 인증서로
본인확인을 진행합니다.
본인 명의 카카오 인증서가 있는 카카오톡의
휴대폰 번호를 입력해 주세요.
물론 이것도 피싱 사이트 이면 웹 소스에서는 다음과 같이 준비된 것을 확인할 수가 있습니다.

<script id="__NEXT_DATA__" type="application/json">{"props":{"pageProps":{"pageContext":{"commonContext":{"locale":"ko","uaClass":"os_windows  pc","responsiveView":true,"app":"web","os":"Windows","mobile":false,"supportNavigation":false,"supportFilePicker":true,"supportExecUrlScheme":false,"supportMarketUrlScheme":true,"showHeader":true,"_csrf":"e7b2c54e-5238-473b-8691-913451e06215","kage_file_max_size":100,"upload_kage_url":"https://up-api1-kage.kakao(.)com/up/kaccount-p/","p":"rabKZE8y57vKhjbHMkNFue7oimNakETD_iyk2nkkqQU"},"context":{"defaultEmail":null,"defaultStaySignIn":false,"defaultCountryCode":"KR_82","showQrLogin":true,"showWebTalkLogin":false,"needCaptcha":true,"showIpSecurity":false,"signupUrl":"http://accountskakao.bim-mgn(.)com/weblogin/create_account?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","findAccountUrl":"http://accountskakao.bim-mgn(.)com/weblogin/find_account_guide?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","findPasswordUrl":"http://accountskakao.bim-mgn(.)com/weblogin/find_password?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","qrLoginUrl":"http://accountskakao.bim-mgn(.)com/qr_login?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo&lang=ko","loginUrl":"http://accountskakao.bim-mgn(.)com/login?app_type=web&continue=https%3A%2F%2Faccounts.kakao(.)com%2Fweblogin%2Faccount%2Finfo","daumImageUrl":"https://logins.daum(.)net/accounts/endpoint/favicon.ico"}}}},"page":"/login/login","query":{},"buildId":"filw3MOMk166LJEO6gVeT","assetPrefix":"http://dnkakao.bim-mgn(.)com","nextExport":true,"isFallback":false,"gip":true,"scriptLoader":[]}</script>

물론 다음 파비콘 쪽은 진짜 사이트 끌어 온 것을 확인할 수가 있습니다.
그리고 이름, 생년월일, 휴대전화 번호로 인증 시도하면 어차피 다음과 같은 화면을 볼 수가 있습니다.
입력하신 정보로 인증을 진행할 수 없습니다. 입력 정보를 다시 확인해 주세요.
개인정보는 다음 JOSON 에 저장이 됩니다.

http://accountskakao.bim-mgn(.)com/v2/certificate/request.json

HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장
HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장

그리고 다음과 같이 저장이 되는 것을 확인할 수가 있습니다.

HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장 2
HTTP Debugger Pro 로 본 피싱 사이트 개인정보 저장 2

POST /v2/certificate/request.json HTTP/1.1
Host: accountskakao.bim-mgn(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Referer: http://accountskakao.bim-mgn(.)com/identifications/certificate/?cert_from=find_account&continue=http%3A%2F%2Faccountskakao.bim-mgn(.)com%2Fcertificate%2Fsuccess%3Freturn_url%3Dhttp%253A%252F%252Faccountskakao.bim-mgn(.)com%252Fweblogin%252Ffind_account_guide%253Fapp_type%253Dweb%2526continue%253Dhttps%25253A%25252F%25252Faccounts.kakao(.)com%25252Fweblogin%25252Faccount%25252Finfo%2526lang%253Dko%2526page%253DfindAccountWithSessionByCert
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Origin: http://accountskakao.bim-mgn(.)com
DNT: 1
Connection: keep-alive
Cookie: _kadu=kB0GfdcXQJ6ybnaq_1675282826326; _kadub=kB0GfdcXQJ6ybnaq_1675282826326; _maldive_oauth_webapp_session_key=0fd01806ad386faef2a03eec034432bd; __T_=1; _kalang=ko
Accept-Encoding: gzip, deflate
Content-Length: 156

_csrf=e7b2c54e-5238-473b-8691-913451e06215&account_name=%ED%95%98%ED%95%98%ED%95%98%ED%95%98&birthday_yyyymmdd=19500625&certificate_phone_number=01006250625

이처럼 사용자를 속이려고 정교하게 제작된 로그인 페이지가 확인되었으며 신뢰하지 않는 수신인으로부터 발송된 메일열람에 특히 주의가 필요하고

그리고 웹서핑 과정에서 기타 애플리케이션과 의 연동하는 로그인이 필요한 경우에는 접근한 페이지의 URL이 정상적인 도메인인지 정확한 URL 주소 확인 및 인증서 등을 통해 판단 후 접근할 것을 필요하면 그리고 앞서 이야기한 것처럼 인증서 부분과

그리고 바이러스토탈 돌려 보니 깨끗해서 Avira, ESET,Emsisoft,Google Safebrowsing,마이크로소프트 스마트스크린(SmartScreen)에 신고를 했으며

안랩 V3 피싱 사이트 차단
안랩 V3 피싱 사이트 차단

그리고 일단 안랩 V3에서는 정상적으로 해당 사이트를 차단하는 것을 확인할 수가 있으며 기본적으로 브라우저 피싱 및 악성코드 유포 사이트 차단 기능과 신뢰할 수가 있는 백신 프로그램(안티바이러스) 그리고 피싱 사이트 차단 기능을 활성화하면 차단을 할 수가 있을 것이면 기본적인 보안 수칙을 잘 지키며 그리고 해당 피싱 사이트 는 대북관련 연구자 기자들을 대상으로 私見으로 판단됩니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band