오늘은 최근에 전 세계적으로 유행하는 GPT 3.5를 기반으로 하는 대화형 인공지능 서비스에 대해 알아보겠습니다. 일단 ChatGPT는 사용자와 주고받는 대화에서 질문에 답하도록 설계된 언어모델이며 최근에 인기가 좋아서 프로그램을 공부하시는 분들도 도움을 받고 있고 물론 좋은 방향으로 사용하면 문제가 되지 않겠지만, 악성코드 작성, 피싱 사이트 작성, 법원 판결문 대필? 연설문 대필? 등 좋은 면과 나쁜 점이 공존하고 있습니다.
물론 AI라서 똑똑 한 것이 아니고 가끔은 유명한 연예인을 살아 있는데 사망했다는지 검증이 안 된 말을 하는 것이 있습니다. 여기서 무료 버전을 사용해도 되지만 유료 버전 즉 20달러를 돈을 내면 다른 사람들보다는 반응 속도가 빠른 답변을 받을 수가 있는 것이 특징입니다.
일단 오늘은 ChatGPT (쳇GPT)의 유명세를 악용해서 불법적으로 금전을 취득하려고 하는 피싱 사이트에 대해 글을 적어 보겠습니다.
일단 기본적으로 해당 피싱 사이트는 ChatGPT Plus(쳇GPT 플러스)이라는 유료 서비스로 위장하고 있으며 일단 유포 주소는 다음과 같습니다.
https://pay.chatgptftw(.)com/
기본 화면은
Online payment
Please enter any details in the notes section
Payment,Card number,Expiration,CVC를 입력을 해서 해당 카드 정보를 탈취하는 것이 목표인 것으로 추측됩니다.
일단 해당 인증서 내용은 다음과 같습니다.
일반 이름: pay.chatgptftw(.)com
발급자 이름
국가: US
시/도:Arizona
조직:GoDaddy(.)com, Inc
조직 단위:http://certs.godaddy(.)com/repository/
일반 이름:Go Daddy Secure Certificate Authority - G2
유효성
이 시각 이전에는 없음:Mon, 13 Feb 2023 19:32:09 GMT
이 시각 이후에는 없음: Tue, 13 Feb 2024 19:32:09 GMT
해당 피싱 사이트는 고 대디 (GoDaddy Inc) 미국의 도메인 등록 기관 이면서 렌탈 서버 서비스를 이용하는 것 같습니다.
일단 Enter Amount 부분에 사용자가 직접 금액을 적게 돼 있으며 그리고 밑으로 내려가 보면 신용카드, 체크카드 정보를 입력하게 돼 있습니다.
그리고 입력을 하면 다음같이
카드가 유효하지 않습니다. 다시 시도해 주세요.
Card is invalid. Please try again.
이라는 메시지를 볼 수가 있으며 다음 주소로 전송을 시도합니다.
https://services.poynt(.)net/businesses/eb59f67c-9de4-4a3f-ba49-7799330d0189/cards/open-tokenize
으로 신용카드 정보가 전송된 것을 확인할 수가 있습니다. 해당 부분을 보면 다음과 같습니다.
POST /businesses/eb59f67c-9de4-4a3f-ba49-7799330d0189/cards/open-tokenize HTTP/1.1
Host: services.poynt(.)net
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: application/json, text/plain, */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/json;charset=utf-8
Poynt-Request-Id: 33715a2d-70c2-4efc-8cbc-a22b79f361d2
Poynt-Session-Id: e6eee06d-68b9-481e-8b82-e4614a594a39
Origin: https://cdn.poynt(.)net
DNT: 1
Connection: keep-alive
Referer: https://cdn.poynt(.)net/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
Accept-Encoding: gzip, deflate
Content-Length: 382
{"applicationId":"urn:aid:poynt.net","card":{"number":"4556491559205191","expirationMonth":"05","expirationYear":"2025","type":"VISA","cardHolderFirstName":"Noé","cardHolderLastName":"Meunier","cardHolderFullName":"Noé Meunier"},"verificationData":{"cvData":"361","cardHolderBillingAddress":{"postalCode":"1371","line1":"","line2":"","city":"","territory":"","countryCode":"US"}}}
보시면 신용카드 정보 및 신용카드 만료 일자 등이 기록이 돼 있는 것을 확인할 수가 있습니다.
그리고 다음 주소에서는 이메일 주소가 있는 것을 확인할 수가 있습니다.
https://vt.poynt(.)net/ecommerce/transaction
해당 부분을 보면 다음과 같습니다.
HTTP/1.1 400 Bad Request
date: Thu, 23 Feb 2023 05:20:18 GMT
content-type: application/json; charset=utf-8
set-cookie: AWSALB=lLrY/JbgX4iBhsf1sXezmIphX8zprVs9sMOSD3DAwYydahFZKl67fll8lGhMi+lnU6tCp47inwG4LXKU0UxBqE4x8cV/cDZpfVPqdJgcu8tzssWEnf5JilDV9c3U; Expires=Thu, 02 Mar 2023 05:20:18 GMT; Path=/
set-cookie: AWSALBCORS=lLrY/JbgX4iBhsf1sXezmIphX8zprVs9sMOSD3DAwYydahFZKl67fll8lGhMi+lnU6tCp47inwG4LXKU0UxBqE4x8cV/cDZpfVPqdJgcu8tzssWEnf5JilDV9c3U; Expires=Thu, 02 Mar 2023 05:20:18 GMT; Path=/; SameSite=None; Secure
last-modified: Thu, 23 Feb 2023 05:20:18 GMT
content-security-policy: frame-ancestors 'self' poynt.godaddy(.)com:* *.poynt.godaddy(.)com:* *.payments.godaddy(.)com:* payments.godaddy(.)com:*
access-control-allow-origin: *
access-control-allow-headers: Origin, X-Requested-With, Content-Type, Accept, Poynt-Request-Id, User-Agent, api-key, poynt-csrf-token
x-frame-options: ALLOW
x-ratelimit-limit: 100
x-ratelimit-remaining: 99
x-ratelimit-reset: 1677190548
set-cookie: poynt-production=s%3AkLUrJWcAzSINq0I8KR-O_MPkNTgmSKPs.b1MWYme6X2cO1%2B4uozFUdwVu%2Fp8lrZxj4Mz5l2kdNkg; Domain=poynt(.)net; Path=/; Expires=Fri, 24 Feb 2023 05:20:18 GMT; HttpOnly; Secure
vary: Accept-Encoding
content-encoding: gzip
x-envoy-upstream-service-time: 317
set-cookie: visitor=vid=2e02b75d-cb15-4a1a-9151-46fc81d7d5a8; Path=/; Domain=vt.poynt(.)net; Expires=Thu, 22 Feb 2024 05:20:18 GMT
set-cookie: fb_sessiontraffic=S_TOUCH=&pathway=2e02b75d-cb15-4a1a-9151-46fc81d7d5a8&V_DATE=&pc=0; Path=/; Domain=vt.poynt(.)net; Expires=Thu, 23 Feb 2023 05:40:18 GMT
set-cookie: pathway=2e02b75d-cb15-4a1a-9151-46fc81d7d5a8; Path=/; Domain=vt.poynt.net; Expires=Thu, 23 Feb 2023 05:40:18 GMT
server: envoy
Content-Length: 96
{"code":"RequestError","httpStatus":400,"message":"Card verification failed."}
그리고 해당 부분에서는 400 에러 코드를 통해서 Card verification failed 한마디로 너 카드 정보 잘못되었다는 메시지가 나오는 것을 확인할 수가 있습니다.
일단 VirusTotal(바이러스 토탈)2023-02-23 06:11:50 UTC 기준 보안 업체에서 탐지하는 보안 업체들은 다음과 같습니다.
Avira:Phishing
CyRadar:Malicious
Kaspersky:Phishing
Sophos:Malware
언제나 일단 탐지가 안 되는 Emsisoft, ESET,Google Safe browsing,마이크로소프트 스마트스크린(Windows Defender SmartScreen)에서는 신고를 했으니 기본적으로 구글 세이프 브라우징 같은 경우 해당 서비스를 사용하는 구글 크롬, 파이어폭스 등 브라우저에서는 신고했으니 나중에 탐지할 것이며 기본적으로 백신 프로그램(안티바이러스) 과 브라우저,윈도우 에 있는 기본적인 보안 부분을 사용하는 것이 안전하게 사용을 하는 방법일 것입니다.
앞으로 이런 ChatGPT(쳇GPT) 관련해서 피싱 사이트 및 악성코드들이 계속 나올 것이므로 항상 조심을 하시는 것이 좋을 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
교통위반 벌점 처분고지서 경찰 민원 모바일 피싱사이트-jkyxc.emvu group(2023.03.02) (2) | 2023.03.06 |
---|---|
디지바이트(DigiByte) 문서로 위장한 악성코드-What is DigiByte.doc(2023.3.1) (0) | 2023.03.03 |
Firefox 110.0.1 보안 업데이트 (0) | 2023.03.02 |
구글 OTP 및 Authy 대안 오픈소스 인증앱-Aegis Authenticator (1) | 2023.02.28 |
HTA 파일로 유포 되는 Qakbot(칵봇) 악성코드-attachment.hta(2023.2.1) (0) | 2023.02.24 |
애플 앱 스토어(App Store) 에서 사용자 QR 코드 훔치는 2단계 인증 앱 유포중(2023.2.22) (0) | 2023.02.23 |
비밀번호 관리 프로그램 Bitwarden Password Manager Argon2 KDF 반복 지원 (0) | 2023.02.22 |
트위터 2023년3월20일 대부분 사용자에 대한 문자 이단계인증 비활성화 (0) | 2023.02.21 |