페이스북 피싱

2017년 01월 01일 부터 80.483.356 views 라는 이름으로 등장한 영상 주소처럼 위장한 서브도메인이 매우 긴 홈페이지에 방문하여, 페이스북 로그인을 시도하자 계정이 탈취되어 제 3자가 태그를 한 후 해당 동일 도메인을 뿌린다는 제보가 등장했다.

해당 홈페이지를 직접 방문해서 확인해 본 결과, 피싱 사이트로 리다이렉트 되는것을 확인했다.
정상적인 계정으로 로그인 시 계정이 탈취되어 친구추가되어있는 사용자를 전부 태그하고 동일한 주소로 게시글을 올리는것이 확인이 되었다.
추가사항

페이스북에서 01월 01일 자로 유포가 되던 홈페이지의 IP 주소는 프랑스에 위치한 것으로 표시되고 있다.
api.js 라는 파일명으로 되어있는 난독화된 자바스크립트 내용도 확인되고 있다.
/m/ 사이트에 접속하지 않고 index 로 접속시 slimspots(해외 광고 출력 사이트) 에서 제공하는 랜덤한 성인사이트 홈페이지로 302 redirect 확인되고 있음
해당 피싱링크 사이트를 찾던도중, 원래 첫 유포지로 추정되는 홈페이지의 주소를 확인했다. 피싱 사이트에 접속하여 로그인에 성공이 되면 Google Tag 를 통해 ?success 를 보내는것으로 추정하고 있다.
해당 홈페이지의 index 는 random.html 을 불러오고 이 random.html 은 첫 유포지로 추정되는 사이트에 올라온 아무 tag 를 하나를 불러와 상단에 있는 피싱 페이스북 링크와 동일하게 구현이 되어있다.
첫 유포지로 추정되는 사이트는 홍콩에서 운영되고 있다.
페이스북 타임라인 쪽에서도 진행이 되는것으로 추정이 되고 있다. 페이스북 타임라인 파라메터 링크를 담고 있는 txt 파일이 포함된 내용이 해당 홈페이지에 올라와있다.
News 라는 타임라인에서 해당 동일한 URL이 약 18,000 명에게 공유가 되었음을 확인할 수 있었다.
보안 권고사항
- 출처를 알 수 없는 홈페이지의 링크는 누르지 않는다.
- 만약 해당 피싱 사이트에 로그인을 했다면 계정 비밀번호를 변경 후 OTP 인증(페이스북 앱 혹은 Google OTP 인증)을 설정한다.