오늘은 일단 피싱(Phising)은 이미 다 아실 것입니다. 즉 내가 누고 인데 나는 너의 아이디와 비밀번호가 필요하니 해당 링크 및 첨부파일을 열어서 너의 소중한 개인정보를 주세요 하는 것입니다. 해당 특징은 대한민국 정책 브리핑이라는 사이트의 접속 계정 정보 탈취 목적인 것을 추측되며 해당 사이트에서 정해진 정상적인 루트가 아닌 루트로 개인정보 입력 시 피싱 파일을 보낸 세력들에게 개인정보가 털릴 수가 있습니다.
일단 해당 피싱(Phising)의 해쉬값은 다음과 같습니다.
파일명:KB_20231030778(.)html
사이즈:50.5 KB
MD5:4092c4ae789b84087710d5cca49322c9
SHA-1:0939aa8180e5289a4221abba9828ef8d8f9f456c
SHA-256:f34a88e24d661ba3e748bde1fb8b5f00dc446dbdb7e961b6c81e7c6bd34a2021
피싱 HTML 파일 내용
KB 국민카드
암호화된 보안 메일입니다.
비밀번호를 입력해주시기 바랍니다.
개인고객:주민등록상 생년월일 6자리
기업(가맹점)고객:사업자번호 10자리
e-기프트카드:SMS로 전송도니 인증번호 6자리
로 돼 있지만 실제로는 그냥 그림 파일입니다.
여기서 웹소스 보면 2초 안에 주소를 리다이렉트 시키는 것을 확인할 수가 있습니다.
피싱 웹소스
<html lang="ko"><head>
<title>KB</title>
<meta http-equiv="X-UA-Compatible" content="IE=Edge">
<meta name="LocLC" content="1033"><link rel="shortcut icon" href="images/">
<meta http-equiv="refresh" content="2;
https://apiservices.krxd(.)net/click_tracker/track?kxconfid=whjxbtb0h&_knopii=1&kxcampaignid=P.C.C-Class.W206(.)L.MI&kxplacementid=modul(e)2findmyca(r)&kxbrand=MB&clk=https://member-asp(.)duckdns(.)org/jifegqldteqbqf/qlfjbuf(k)/604100710/#?????@????(.)kr"> <content="text/html; charset=iso-8859-1">
</head>
코드 설명
1.<html lang="ko">:해당 태그는 이 문서가 한국어로 작성되었음을 지정
2.<head>:HTML 문서의 head 섹션
주로 웹페이지와 관련된 메타데이터 및 정보가 포함
3.<title>KB</title>:웹페이지의 제목으로 브라우저의 제목 표시줄 또는 탭에 표시
4.<meta http-equiv="X-UA-Compatible" content="IE=Edge">:해당 메타 태그는 Internet Explorer에서 문서의 호환 모드를 설정 최신 렌더링 엔진인 Edge 를 사용하도록 지시
5. <meta name="LocLC" content="1033">:해당 메타 태그는 로케일 또는 위치 코드를 지정하는 것으로 1033 으로 설정
6.<link rel="shortcut icon" href="images/">:해당 부분은 웹페이지의 파비콘 (favicon)을 정의함
그러나 href 속성이 images/로 설정되어 있어 파비콘 이미지의 구체적인 위치가 명시되지 않아 완전하지 않음
7.<meta http-equiv="refresh" content="2; ...">:메타 태그는 페이지를 2초마다 새로 고침 하는 설정을 제공 주소에는 추적 매개변수가 포함된 긴 주소가 포함되어 있음
8. <content="text/html; charset=iso-8859-1">:해당 부분은 잘못된 또는 누락된 태그로 보임
페이지의 문자 인코딩을 지정하는 것으로 올바른 형식은 <meta http-equiv="content-type" content="text/html; charset=iso-8859-1">
즉 2초 뒤에 그냥 지정된 사이트로 리다이렉트 시키는 것을 확인할 수가 있음
그리고 연결되는 사이트들은 다음과 같습니다.
https(:)//pub-75fd6d271e724451bc366571a14fc987(.)r2(.)dev/jquery-1(.)js
-> https(:)//fdxxc.duckdns(.)org/XcrhUin/HgrY5Ip7t5D/x(.)php
HTTP Debugger Pro 로 본 개인정보 전송 이도는 결과는 해당 PHP 에 전송이 되는 것을 확인할 수가 있으며 아마도 메일 주소가 korea(.)kr 인 것으로 보아서 문화체육관광부 국민소통실에서 운영 중인 대한민국 정부 대표 정책뉴스 포털인 대한민국 정책브리핑 에 겨냥을 하고 노린 피싱 메일입니다.
문화체육관광부 국민소통실 관계자 계정을 털기 위한 목적으로 만들어진 것 같습니다.
아무튼, 피싱 사이트 이며 Emsisoft Browser Security 파이어폭스 및 구글 크롬 부가기능에서는 해당 부가기능을 설치해서 사용하면 해당 사이트는 정상적으로 차단되는 것을 확인할 수가 있습니다.
즉 언제나 이야기하지만, 기본적인 보안 수칙을 잘 지키는 것이 안전하게 인터넷과 소중한 개인정보를 지키는 길입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Mullvad 공개 암호화 DNS 서버 RAM(램) 에서 실행 (0) | 2023.11.16 |
---|---|
교통민원24(이파인) 피싱 사이트-app appliveko(2023.10.31) (0) | 2023.11.15 |
비트코인 송금 및 해킹 협박 메일(혹스 메일),몸캠 협박 메일 대처 및 분석-There is an overdue payment under your name. Please, settle your debts ASAP(2023.10.24) (0) | 2023.11.14 |
북한 라자루스(Lazarus) 산하 BlueNorOff(블루노로프) 만든 맥OS 악성코드-ProcessRequest(2023.11.7) (0) | 2023.11.13 |
일본 주민등록증 마이넘버카드(マイナンバーカード) 피싱 사이트-1(.)corre-os(.)top(2032.10.31) (0) | 2023.11.09 |
애플 Find My 네트워크를 악용해 키로그 통한 비밀번호 강탈 가능 (0) | 2023.11.08 |
구글 크롬(Google Chrome) 120 안드로이드 7(Nougat)기기 에서 실행 안됨 (0) | 2023.11.07 |
Tutanota(투타노타) 피싱 메일-Undelivered : outgoing messages failure(2023.10.29) (0) | 2023.11.06 |