꿈을꾸는 파랑새

오늘은 우체국 사칭 피싱 사이트(Phishing)에 대해 알아보겠습니다.
우체국(郵遞局)이라고 하는 것은 우편물을 수취 발송 전달해 주는 역할을 하는 기관 또는 기업으로 금융 업무를 담당하고 있으며 정부기관 또는 공기업이며 대한민국은 정부기관의 형태로 과학기술정보통신부의 산하 기관인 우정사업본부로 존재하고 있습니다. 대한민국에서는 1884년 4월 22일에 세워진 우정총국을 통하여 우편의 역사 시작이며 우정총국 초대 총판이 홍영식이었는데 갑신정변이 터지고 며칠 후에 살해 한마디로 갑신정변 때문에 10년 이상 우편 제도가 중지되었으며 1895년 갑오개혁 되어서 우편사업 시작 1905년에 한일통신합동조약이 강제로 맺어져 대한제국의 체신 업무는 그대로 일본에 흡수 우정총국은 경성우체국으로 흡수 해방 이후 일제가 남겨두고 간 시설로 다시 업무를 시작 1948년 대한민국 정부 수립 후 정부의 공식 기관이 돼 오늘날 대한민국 우편 서비스 시작했습니다. 아무튼, 일단 오늘 피싱 사이트 유포 사이트는 다음과 같습니다.

https://y.epost-go-kr(.)shop

그리고 인증서는 다음과 같습니다.
Google Trust Services LLC
그리고 피싱 페이지의 내용은 다음과 같습니다.

우체국 피싱 사이트우체국 피싱 사이트 인증서 내용
우체국 피싱 사이트

배송 상황
패키지 번호:408171084(해당 부분은 계속 바뀜)
배송 실패 통지
배송 주소가 명확하지 않기 때문에 패키지가 전달되지 않습니다.
귀하의 패키지가 운영 센터로 돌아 왔습니다
주소를 업데이트하십시오.2023. 7. 27.에 다시 배송합니다.

우체국 피싱 사이트 에서 진짜 사이트 링크
우체국 피싱 사이트 에서 진짜 사이트 링크

일단 보니까 우체국 소포, 국제 우편, 국제 소포 우편(EMS 포함), 국제 등기 이런 것을 노린 것 같습니다.
그런데 보면 계속하다 라는 것을 보면 아마도 구글 번역기 돌린 것 같은 느낌이 됩니다.
그리고 해당 사이트에 의심하는 사람들이 있으면 또는 우체국 다른 서비스를 이용하려고 접속을 하려고 공식 사이트 를 사용을 한다고 하며 공식 우체국 사이트를 이동하려고 준비를 한 것 같습니다.여기서 일단 먼저 개인정보를 수집합니다. 우편 번호, 이메일, 전화번호를 수집합니다.

우체국 피싱 사이트 개인정보 수집
우체국 피싱 사이트 개인정보 수집

https://y.epost-go-kr(.)shop/#/address

우체국 피싱 사이트 신용카드 및 체크카드 정보 수집
우체국 피싱 사이트 신용카드 및 체크카드 정보 수집

그리고 즉시 업데이트하십시오 이라고 되어져 있는데 한국어 맞춤법이 이상한 것을 확인할 수가 있습니다. 그리고 나서 다음 사이트로 이동해서 일단 신용카드 및 체크카드를 수집하기 위해서 다음 사이트 이동을 합니다.

https://y.epost-go-kr(.)shop/#/card

온라인 결제
재배송을 위해 일부 서비스 수수료를 부과해야 합니다. 패키지는 결제 후 다시 배송됩니다.
일시불: 389.60₩
어~이것만 봐도 무엇인가 이상 할 것입니다. 왜 우체국에서 재배송을 하는데 수수료를 받는다? 무엇인가 이상하다는 것을 확인할 수가 있습니다.
Progress Telerik Fiddler Classic 으로 트래픽을 보면 다음과 같습니다.

HTTP/1.1 201 Created
Date: Wed, 26 Jul 2023 16:41:07 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 784
Connection: keep-alive
X-Powered-By: Express
Access-Control-Allow-Origin: *
ETag: W/"310-xKFCfPlVbSKQd1VNqXVkyJhG3Z8"
CF-Cache-Status: DYNAMIC
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare(.)com\/report\/v3?s=
ES6ww7aEMrv0BmNL3Nva9Fv0XykXLG3xUFXXyfB8wjPW53a%2BBsW9fTHDXBqqYtRsFv103lEQecjAubyO
actIgqDNwIYHp%2FNo%2BIcsp6P9veJ50tCBjsjjFmJP6%2BnTDAM3HhiKnV4%3D"}],"group":"cf-nel",
"max_age":604800}
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Server: cloudflare
CF-RAY: 7ece16a06f35c067-ICN
alt-svc: h3=":443"; ma=86400
{"id":9509,"domain":"https://y.epost-go-kr(.)shop","ip":"","ua":
"Mozilla/5.0 (Android 13; Mobile; rv:115.0)
Gecko/115.0 Firefox/115.0; ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3; 0","data":
{"__from__":"链接进入","__status__":"客户端连接成功","
fullName":"???","address":"중국 베이징","address2":"1123",
"city":"베이징","state":"베이징","postalCode":"123456789",
"email":"test@test.com","phone":"012345267","cardName":"Matthew Davis",
"cardNumber":"3453 5463 0289 531","expire":"08/25","cvv":"961","
idCardFirst":"1234567898","__
cardHistory__":["012345267 | Matthew Davis | 3453 5463 0289 531 | 08/25 | 961"],
"verifyCode":"123432","验证码历史":[" | "," | "]},"created_at":"2023-07-26T15:38:48.461Z",
"updated_at":"2023-07-26T16:41:07.953Z","uploads":[]}

그리고 저장되는 경로는 다음과 같습니다.

https://y.epost-go-kr(.)shop/api/save-data

Progress Telerik Fiddler Classic 피싱 사이트 내용
Progress Telerik Fiddler Classic 피싱 사이트 내용

이며 여기에서 기본적으로 사용자가 입력한 정보가 저장됩니다.
예를 들면 주소, 신용카드(체크카드)정보, 이름, 카드 번호, 카드 CVC 정보, 이메일 주소, 전화번호 정조, 사는 곳, 그리고 사용자가 입력한 문자 인증 정보를 수집하는 것을 확인할 수가 있습니다.

https://y.epost-go-kr(.)shop/api/get-app-settings에서는 다음과 같이 에러를 대비한 html 이 준비 돼 있는 것을 확인할 수가 있습니다. 해당 내용은 다음과 같습니다.

우체국 피싱 사이트 메타데이터와 JSON 형식
우체국 피싱 사이트 메타데이터와 JSON 형식

HTTP/1.1 200 OK
Date: Wed, 26 Jul 2023 16:41:08 GMT
Content-Type: application/json; charset=utf-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: Express
Access-Control-Allow-Origin: *
ETag: W/"484-co2Jt3ayE36vqCaxv+CSsKWcRwY"
CF-Cache-Status: DYNAMIC
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare(.)com\/report\/v3?s=7esgBwaO9jdDbaexLlAz9Kj0fyCcw3gLmU2MI63F2KnEWRtF%2BHKhVmvGci2fUrVuVOZXHGmqrZ5%2Fpj5lpzp6NEWotHB60E1SJsPGuBxLmsHhmRprCDRoLUQmvd85N3UJJZdVmSA%3D"}],"group":"cf-nel","max_age":604800}
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Server: cloudflare
CF-RAY: 7ece16a1d8a2c067-ICN
alt-svc: h3=":443"; ma=86400
Content-Length: 1156
{"pay-description":{"type":"textarea","text":"支付说明","help":"支付页面的扣款说明","value":""},"pay-price":{"type":"text","text":"支付价格","value":""},"verify-page":{"type":"verify-page","text":"自定义验证页面","value":"{\"file\":\"verify-page-left\",\"page-title\":\"우정사업본부\",\"page-text\":\"\",\"input-1\":\"CVC 번호(3자리), - CVC 는 카드 뒷면에 있는 고유 3자 리 번호입니다。\",\"input-2\":\"카드비밀번호 4자리를 입력해 주세요./일반결제비밀번호 슷자 6자리\",\"button\":\"확인\",\"page-color\":\"#5381be\"}"},"card-error-msg":{"type":"textarea","text":"卡错误提示","help":"自动拒绝或者默认的提示","value":"카드 번호, 날짜 및 CVV가 올바르지 않으니 확인 후 다시 제출해 주세요."},"card-deny-credit-msg":{"type":"textarea","text":"自动拒绝C卡的提示","value":""},"card-deny-debit-msg":{"type":"textarea","text":"自动拒绝D卡的提示","value":"시스템 장애로 인해 현재 신용카드 결제만 지원하고 있습니다."},"two-verify":{"type":"switch","text":"是否需要短讯验证的步骤","value":true}}

이걸 설명하면 다음과 같습니다.
해당 응답은 서버와의 통신과 관련된 메타데이터와 JSON 형식의 데이터 부분으로 구성
1 상태 행과 응답 코드:
HTTP/1.1 200 OK
해당 HTTP 프로토콜의 버전과 응답 코드응답 코드 200은 요청이 성공적으로 처리
CF-Cache-Status: DYNAMIC
Cloudflare 캐시 상태가 동적인 캐시임을 나타냄
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare(.)com\/report\/v3?s=7esgBwaO9jdDbaexLlAz9Kj0fyCcw3gLmU2MI63F2KnEWRtF%2BHKhVmvGci2fUrVuVOZXHGmqrZ5%2Fpj5lpzp6NEWotHB60E1SJsPGuBxLmsHhmRprCDRoLUQmvd85N3UJJZdVmSA%3D"}],"group":"cf-nel","max_age":604800}
관련 데이터를 Cloudflare에 보고하기 위해 사용
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
네트워크 오류 로그 보고에 대한 관련 구성
Server:cloudflare
서버를 구별하는 식별자 Cloudflare 서버를 나타냄
alt-svc: h3=":443"; ma=86400
대체 서비스를 지정하기 위한 ALPN (Application-Layer Protocol Negotiation) 프로토콜
응답 본문:

{
     "pay-description": {
       "type": "textarea",
       "text": "결제 설명",
       "help": "결제 페이지의 결제 안내",
       "value": ""
     },
     "pay-price": {
       "type": "text",
       "text": "결제 가격",
       "value": ""
     },
     "verify-page": {
       "type": "verify-page",
       "text": "사용자 정의 검증 페이지",
       "value": "{\"file\":\"verify-page-left\",\"page-title\":\"우정사업본부\",\"page-text\":\"\",\"input-1\":\"CVC 번호(3자리), - CVC 는 카드 뒷면에 있는 고유 3자 리 번호입니다。\",\"input-2\":\"카드비밀번호 4자리를 입력해 주세요./일반결제비밀번호 슷자 6자리\",\"button\":\"확인\",\"page-color\":\"#5381be\"}"
     },
     "card-error-msg": {
       "type": "textarea",
       "text": "카드 오류 메시지",
       "help": "자동 거부 또는 기본 오류 메시지",
       "value": "카드 번호, 날짜 및 CVV가 올바르지 않으니 확인 후 다시 제출해 주세요."
     },
     "card-deny-credit-msg": {
       "type": "textarea",
       "text": "자동 거부 카드 메시지",
       "value": ""
     },
     "card-deny-debit-msg": {
       "type": "textarea",
       "text": "자동 거부 디비트 카드 메시지",
       "value": "시스템 장애로 인해 현재 신용카드 결제만 지원하고 있습니다."
     },
     "two-verify": {
       "type": "switch",
       "text": "문자 메시지 검증 단계 필요 여부",
       "value": true
     }
   }

해당 부분은 JSON 객체로 결제와 검증에 관련된 정보를 설명 각 필드의 의미와 용도는 다음과 같습니다
pay-description:결제 페이지의 결제 안내에 대한 정보를 포함
pay-price:결제 가격에 대한 정보를 포함
verify-page:사용자 정의 검증 페이지에 대한 정보 페이지 제목,텍스트,입력 필드 및 버튼 등을 제공
card-error-msg:자동 거부 또는 기본 오류 메시지로, 카드 오류 메시지에 대한 정보를 포함
card-deny-credit-msg:자동 거부 카드 메시지에 대한 정보를 포함
card-deny-debit-msg:자동 거부 디비트 카드 메시지에 대한 정보를 포함
two-verify:문자 메시지 검증 단계 필요 여부를 스위치로 표시한 정보 true 인 경우 검증 단계가 필요
2023-07-26 17:14:10 UTC 으로 VirusTotal(바이러스토탈)에서 탐지하는 보안 업체는 없습니다.
어차피 피싱 영업은 이틀 정도 영업을 하고 끝내겠지만 ESET, Google Safebrowsing,윈도우의 기본 보안 기능인 SmartScreen(스마트스크린)쪽으로 신고를 했으니 일단 분석 후 탐지가 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band