북한 에서 만든 대한항공 NFT 피싱 사이트-korean-air(.)org(2023-07-17)

오늘은 북한에서 만든 대한항공 NFT 피싱 사이트인 korean-air(.)org(2023-07-17)에 대해서 알아보겠습니다. 일단 해당 피싱 사이트도 마찬가지로 NFT 이거 준다고 해서 암호화폐(가상화폐)를 연결을 하면 암호화폐(가상화폐)를 털어가는 방식을 사용하고 있으며 일단 피싱(Phishing) 답게 대한항공에서 만든 것처럼 위장하고 있기 때문에 아무런 의심 클릭을 해서 연결을 하면 여러분의 자산을 순식간에 털리게 돼 있습니다.
그리고 피싱 사이트 인증서 정보는 다음과 같이 언제나 Let's Encrypt 인증서를 사용하는 것을 확인할 수가 있습니다.
일단 사이트 내용은 다음과 같습니다.

대한 항공 사칭 피싱 사이트

대한 항공산업에 NFT를 적용하고 고객님들과의 새로운 연결점을 만들려고 대한항공 NFT를 발행하고 이벤트를 진행합니다.
1 기간:2023년 7월 1일 (토) ~ 2023년 7월 31일 (월)
2 대상: 암호화폐 지갑을 이용하여 NFT를 구매한 고객, 선착순 75명에게 무료 발행
3 혜택:-일본행 항공권 연 5매 무료 구매권
- 모든 항공권 10% 할인쿠폰
을 준다고 기간 한정으로 돼 있으며 이벤트 참여하기를 눌러주면 QR 코드가 생성되고 그리고 가상화폐를 연결을 유도해서 털어 가는 방식을 사용하고 있습니다. 주소는 다음과 같습니다.

대한항공 NFT 피싱 사이트 QR 코드

wc:efe87aea-ad26-45fb-9e99-8e8adf848625@1?bridge=
https%3A%2F%2Fo.bridge.walletconnect(.)org&key=5b5666fd691b5c8e65fdd0f9418669c6080f
82927ca8a01a6ebcb5155d8b606f

일단 현재 한국 IP 로는 접속이 되고 있으며 보안 업체에서 탐지하지 않고 있습니다.
HTTP Debugger Pro 본 정보는 다음과 같습니다.

HTTP Debugger Pro 피싱 사이트 정보

GET / HTTP/1.1
Host: www.korean-air(.)org
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
DNT: 1
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Connection: keep-alive
Cookie: AMCV_3131246452DDAE2D0A490D45%40AdobeOrg=1(7)9643557%7CMCIDTS%
7C19556%7CMCMID%7C19882426312936758851572460052088757052%7CMCOPTOUT-1689634
202s%7CNONE%7CvVersion%7C5.5.0; AMCVS_3131246452DDAE2D0A490D45%40AdobeOrg=1
Accept-Encoding: gzip, deflate

Symantec Sitereview 정정 요청

Symantec Sitereview 에서는 여행(Travel)으로 설정이 돼 있어서 당연히 정정 요청을 했습니다.
일단 Emsisoft,Google Safebrowsing,Eset,Symantec Sitereview 신고했습니다. 아무튼, 일단 이렇게 하면 웬만한 브라우저에서는 차단할 수가 있을 것입니다. 기본적으로 있는 브라우저 보안 기능과 그리고 백신 프로그램 등에 있는 보안 기능 들은 항상 사용을 하는 것을 추천합니다.