꿈을꾸는 파랑새

늘도 역시나 조용하다 싶었는데 낚시 메일이 와서 한번 글을 적어 보겠습니다.
일단 기본적으로 배달되지 않고 있으니 48시간 이내에 주소를 클릭해서 확인하라~이런 식으로 돼 있으며 내용은 다음가 같습니다.
 Your incoming messages have been placed on hold.
This pending messages will be deleted automatically after 48 hours
We need to verify your ????@tutanota(.)com address on our platform
Click the button "Verify me" below to deliver messages to your inbox.
✓ Verify me
(25 July 2023) from now (25 July 2023)
Deliver(????@tutanota(.)com) RV: QUOTATION (21 July 2023)
Deliver(???????@tutanota(.)com) ENC: Fwd: PAYMENT (21 July 2023)
Deliver(??????????@tutanota(.)com) Re: Proforma (24 July 2023)
Deliver(?????????@tutanota(.)com) RE: BACK ORDER  (24 July 2023)

피싱 이메일 내용
피싱 이메일 내용

번역을 하면 다음과 같습니다.
수신 메시지가 보류되었습니다.
이 대기 중인 메시지는 48시간 후에 자동으로 삭제됩니다.
당사 플랫폼에서 귀하의 ??????g@tutanota(.)com 주소를 확인해야 합니다.
메시지를 받은 편지함으로 전달하려면 아래의 "확인" 버튼을 클릭하세요.
✓ 나를 확인
(2023년 7월 25일) 지금부터 (2023년 7월 25일)
배달(??@tutanota(.)com ) RV: 견적(2023년 7월 21일)
전달(?@tutanota(.)com ) ENC: Fwd: PAYMENT(2023년 7월 21일)
전달(???????@tutanota(.)com ) 회신: Proforma(2023년 7월 24일)
배송(???????@tutanota(.)com ) 회신: 주문 취소(2023년 7월 24일)
뭐 이렇게 돼 있습니다.

피싱 사이트 메인 화면
피싱 사이트 메인 화면

그리고 이메일 헤더를 열어 보겠습니다.

Authentication-Results: w10.tutanota(.)de (dis=neutral; info=dmarc default policy);
dmarc=pass (dis=neutral p=quarantine; aspf=r; adkim=r; pSrc=config) header.from=dexterint.top;
\dkim=pass header.d=dexterint.top header.s=default header.b=F6XoGD4O
Received: from w4.tutanota.de ([192.168.1(.)165])
by tutadb.w10.tutanota(.)de
with SMTP (SubEthaSMTP 3.1.7) id LKHO6SDI
for ???@tutanota.com;
Tue, 25 Jul 2023 04:20:45 +0200 (CEST),from mail0.dexterint(.)top (mail0.dexterint(.)top [85.31.45(.)32])
by w4.tutanota(.)de (Postfix) with ESMTPS id B354E1060171
for <????????@tutanota(.)com>; Tue, 25 Jul 2023 02:20:44 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=85.31.45(.)32; helo=mail0.dexterint(.)top; envelope-from=admin215@dexterint(.)top; receiver=<UNKNOWN> 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=dexterint.top; h=From:To:Subject:Date:Message-ID:MIME-Version:Content-Type: Content-Transfer-Encoding; i=admin215@dexterint.top; bh=/alRhxxJ7LZRt46l9N0fjiBudc0Zsu+gMaBH7cSC1Wo=; b=F6XoGD4OGf/Pdaa/Qt5uaj1vIhJ/XgzJLLIcVazT9fGb7N4Kgz8ccfOIbTuQ2SYyUsJ7tcac+GSJ
TFz+PKkif+PkoTz8N9oMDm8qWXPCAJi3Pyr6n/+oy4F+Y09F2pA0LHGA6g00AddPU41F/JGjFFYO
Igp70gL+w3tkh0mSYZM=
From: "tutanota(.)com " <admin215@dexterint(.)top>
To: ?????@tutanota(.)com
Subject: Pending mailbox error in ????????@tutanota(.)com
on 7/25/2023 4:22:11 a.m.
Date: 25 Jul 2023 04:22:12 +0200
Message-ID: <20230725042211.A12B2E55A1BC0DED@dexterint(.)top>
MIME-Version: 1.0 charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Type: multipart/related; boundary="------------79Bu5A16qPEYcVIZL@tutanota"

해당 부분을 해석하면 다음과 같습니다.
1. Authentication-Results: 해당 부분은 이메일 인증 결과를 보고
메시지가 DMARC (Domain-based Message Authentication, Reporting, and Conformance) 인증에 따라 처리되었음을 나타냄 dmarc=pass 는 DMARC 검증이 통과되었음을 의미
2. Received: 메일 서버들 간의 메시지 전달 경로를 보여준 해당 헤더에는 발신 서버와 수신 서버에 대한 정보, 전달 시간, IP 주소 등이 포함
3. Received-SPF: 이메일 발신자의 SPF (Sender Policy Framework) 인증 결과를 나타낸 Pass 는 SPF 검증이 성공적으로 완료되었음을 의미
4. DKIM-Signature: 이 부분은 DKIM (DomainKeys Identified Mail) 서명의 검증 결과를 포함
dkim=pass 는 DKIM 서명이 성공적으로 검증되었음을 나타냄
5. From: 이메일의 송신자 주소가 나타냄 
admin215@dexterint(.)top는 송신자 주소(주의: 보이는 이름은 tutanota(.)com이지만, 실제 주소는 admin215@dexterint.top 입니다.)<-한마디로 장난 침
6. To: 이메일의 수신자 주소가 나타냄 ????@tutanota(.)com 은 이메일을 받는 사람의 주소
7. Subject: 이메일의 제목 Pending mailbox error in ????@tutanota(.)com on 7/25/2023 4:22:11 a.m.
8. Date: 이메일이 보내진 날짜와 시간을 나타냅니다. 여기서는 25 Jul 2023 04:22:12 +0200
2023년 7월 25일 오전 4시 22분 12초 (CEST)->2023년 7월 25일 오전 11시 22분 12초 (KST)
중앙 유럽 여름 시간 (CEST) 기준 발신 대충 해당 국가들은 다음과 같습니다.
독일 (Germany), 프랑스 (France), 이탈리아 (Italy), 스페인 (Spain), 네덜란드 (Netherlands), 벨기에 (Belgium), 오스트리아 (Austria), 스위스 (Switzerland), 룩셈부르크 (Luxembourg), 덴마크 (Denmark) - 그린란드와 덴마크렉선도도 포함, 노르웨이 (Norway) - 소매를 섬과 얀마옌 섬은 제외, 스웨덴 (Sweden), 폴란드 (Poland), 체코 (Czech Republic), 슬로바키아 (Slovakia), 헝가리 (Hungary), 슬로베니아 (Slovenia), 크로아티아 (Croatia), 세르비아 (Serbia), 보스니아 헤르체고비나 (Bosnia and Herzegovina), 몬테네그로 (Montenegro), 코소보 (Kosovo)
9. Message-ID: 이메일의 고유한 식별자인 메시지 ID
10. MIME-Version: 이메일의 MIME (Multipurpose Internet Mail Extensions) 버전
11. Content-Transfer-Encoding: 이메일 내용의 전송 인코딩 방식 여기서는 "quoted-printable"로 지정
12. Content-Type: 이메일 내용의 유형을 명시 multipart/related 은 여러 부분으로 구성되어 있음
그리고 유포되는 주소는 다음과 같습니다.

https://7glzb5xzptpzujpfsvccma6aw6ee-ipfs-dweb-link(.)translate.goog/?_x_tr_hp=bafkreif54gxozsbtslxy2poorqmiyh&_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US?#?????????@tutanota(.)com

이걸 본래 주소는 다음과 같습니다.

https://bafkreif54gxozsbtslxy2poorqmiyh7glzb5xzptpzujpfsvccma6aw6ee(.)ipfs.dweb(.)link/

구글 번역 지원 안되는 지역
구글 번역 지원 안되는 지역

이렇게 보면 친절하게 구글 번역기를 주소를 넣어준 것을 확인할 수가 있으면 한국에서는 구글 번역기 주소로는 사용하지 못하는 관계를 VPN을 통해서 접속해야 합니다. 그러나 다들 아시는 것처럼 한국에서는 구글 사이트 번역이 안 되는 관계로 다음과 같은 메시지를 볼 수가 있을 것입니다.
This translation service isn't available in your region
인증서는 다음과 같습니다.
Let's Encrypt입니다.
그러면 요령껏 해서 원본 사이트를 복원해서 개인정보를 입력하면 다음 사이트로 이동하는 것을 볼 수가 있습니다.

피싱 사이트 인증서 정보
피싱 사이트 인증서 정보

https://silman(.)cam/mone/mase.php

입니다. 그리고 나서 HTTP Debugger Pro로 Raw 값을 보면 다음과 같습니다.

HTTP Debugger Pro 본 피싱 사이트 비밀번호 전송
HTTP Debugger Pro 본 피싱 사이트 비밀번호 전송

POST /mone/mase(.)php HTTP/1.1
Host: silman(.)cam
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://bafkreif54gxozsbtslxy2poorqmiyh7glzb5xzptpzujpfsvccma6aw6ee.ipfs.dweb(.)link 
DNT: 1
Connection: keep-alive
Referer: https://bafkreif54gxozsbtslxy2poorqmiyh7glzb5xzptpzujpfsvccma6aw6ee(.)ipfs.dweb.link/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Accept-Encoding: gzip, deflate
Content-Length: 53
email=??%40tutanota(.)com&password=test%40test

인 것을 확인할 수가 있습니다.
2023-07-25 09:10:30 UTC 기준으로 VirusTotal(바이러스토탈)으로 탐지되는 보안 업체들은 다음과 같습니다.
Seclookup:Malicious
Trustwave:Phishing
Abusix:Spam
Forcepoint ThreatSeeker:Suspicious
입니다. 언제나 이야기하지만, 즉 앞서 이야기한 것처럼 기본적으로 브라우저에 있는 피싱 및 맬웨어 차단 기능을 활성화하고 기본적으로 나는 윈도우 만사용을 한다고 하면 윈도우 디펜더 에 있는 스마트스크린 기능을 비활성화하는 것은 비추천을 하면 그리고 따로 백신 프로그램(안티바이러스)을 설치를 했다고 하면 해당 부분에서도 기본적으로 피싱 및 유해 사이트 차단 기능을 지원하고 있으니 해당 기능을 비활성화하지 말고 그리고 2FA(이단계 인증)은 기본적으로 설정을 해두는 것이 안전하게 비밀번호를 사용하는 방법입니다.

구글 크롬, 파이어폭스, 마이크로소프트 엣지 등에서 설치할 수 있는 Emsisoft Browser Security 같은 부가기능 같은 것을 사용하는 것도 좋은 방법의 하나입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band