페이스북 피싱 사이트 주소 활보, 주의 요망

0

페이스북 피싱

 

이미지 3.png

2017년 01월 01일 부터 80.483.356 views 라는 이름으로 등장한 영상 주소처럼 위장한 서브도메인이 매우 긴 홈페이지에 방문하여, 페이스북 로그인을 시도하자 계정이 탈취되어 제 3자가 태그를 한 후 해당 동일 도메인을 뿌린다는 제보가 등장했다.

 

 

이미지 4.png

해당 홈페이지를 직접 방문해서 확인해 본 결과, 피싱 사이트로 리다이렉트 되는것을 확인했다.

정상적인 계정으로 로그인 시 계정이 탈취되어 친구추가되어있는 사용자를 전부 태그하고 동일한 주소로 게시글을 올리는것이 확인이 되었다.

추가사항

 

fb-추가정보1.png

페이스북에서 01월 01일 자로 유포가 되던 홈페이지의 IP 주소는 프랑스에 위치한 것으로 표시되고 있다.

api.js 라는 파일명으로 되어있는 난독화된 자바스크립트 내용도 확인되고 있다.

/m/ 사이트에 접속하지 않고 index 로 접속시 slimspots(해외 광고 출력 사이트) 에서 제공하는 랜덤한 성인사이트 홈페이지로 302 redirect 확인되고 있음

fb-추가정보2.png

해당 피싱링크 사이트를 찾던도중, 원래 첫 유포지로 추정되는 홈페이지의 주소를 확인했다. 피싱 사이트에 접속하여 로그인에 성공이 되면 Google Tag 를 통해 ?success 를 보내는것으로 추정하고 있다.

해당 홈페이지의 index 는 random.html 을 불러오고 이 random.html 은 첫 유포지로 추정되는 사이트에 올라온 아무 tag 를 하나를 불러와 상단에 있는 피싱 페이스북 링크와 동일하게 구현이 되어있다.

fb-추가정보3.png

첫 유포지로 추정되는 사이트는 홍콩에서 운영되고 있다.

fb-추가정보4.png

페이스북 타임라인 쪽에서도 진행이 되는것으로 추정이 되고 있다. 페이스북 타임라인 파라메터 링크를 담고 있는 txt 파일이 포함된 내용이 해당 홈페이지에 올라와있다.

fb-추가정보5.png

News 라는 타임라인에서 해당 동일한 URL이 약 18,000 명에게 공유가 되었음을 확인할 수 있었다.

보안 권고사항

 

  1. 출처를 알 수 없는 홈페이지의 링크는 누르지 않는다.
  2. 만약 해당 피싱 사이트에 로그인을 했다면 계정 비밀번호를 변경OTP 인증(페이스북 앱 혹은 Google OTP 인증)을 설정한다.