페이스북 피싱 사이트 주소 활보, 주의 요망

0

Contents

페이스북 피싱

 

[pe2-image src=”https://lh3.googleusercontent.com/-lXFXcIZvSE4/WGj-HKB8YQI/AAAAAAAAFfs/z5lk5tNFLjUaNsTT9WinlL-Tjc6wcQ3LQCCo/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B3.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370621071820611842″ caption=”2017.01.01 페이스북 피싱 URL – 1″ type=”image” alt=”이미지 3.png” ]

2017년 01월 01일 부터 80.483.356 views 라는 이름으로 등장한 영상 주소처럼 위장한 서브도메인이 매우 긴 홈페이지에 방문하여, 페이스북 로그인을 시도하자 계정이 탈취되어 제 3자가 태그를 한 후 해당 동일 도메인을 뿌린다는 제보가 등장했다.

 

 

[pe2-image src=”https://lh3.googleusercontent.com/-Xvst-TqdFfA/WGj-HGTyYPI/AAAAAAAAFfs/Vtn75JsQcqMcy3jobgJq30lYBOD6wNA7gCCo/s144-c-o/%25EC%259D%25B4%25EB%25AF%25B8%25EC%25A7%2580%2B4.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370621070821712114″ caption=”2017.01.01 페이스북 피싱 URL – 2″ type=”image” alt=”이미지 4.png” ]

해당 홈페이지를 직접 방문해서 확인해 본 결과, 피싱 사이트로 리다이렉트 되는것을 확인했다.

정상적인 계정으로 로그인 시 계정이 탈취되어 친구추가되어있는 사용자를 전부 태그하고 동일한 주소로 게시글을 올리는것이 확인이 되었다.

추가사항

 

[pe2-image src=”https://lh3.googleusercontent.com/-byrorK3pY5o/WGmzaxdXy8I/AAAAAAAAFgU/Kl6Cj3hrmUUZWh9O6U7dt3XHUmNL5DGBACCo/s144-c-o/fb-%25EC%25B6%2594%25EA%25B0%2580%25EC%25A0%2595%25EB%25B3%25B41.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370820420426779586″ caption=”2017.01.01 페이스북 피싱 사이트 위치” type=”image” alt=”fb-추가정보1.png” ]

페이스북에서 01월 01일 자로 유포가 되던 홈페이지의 IP 주소는 프랑스에 위치한 것으로 표시되고 있다.

api.js 라는 파일명으로 되어있는 난독화된 자바스크립트 내용도 확인되고 있다.

/m/ 사이트에 접속하지 않고 index 로 접속시 slimspots(해외 광고 출력 사이트) 에서 제공하는 랜덤한 성인사이트 홈페이지로 302 redirect 확인되고 있음

[pe2-image src=”https://lh3.googleusercontent.com/–Xp1QiG-B4g/WGmzawj3nDI/AAAAAAAAFgU/wxmI-ds-WGM-cu4X4MxD4Y5CB86TjrDpgCCo/s144-c-o/fb-%25EC%25B6%2594%25EA%25B0%2580%25EC%25A0%2595%25EB%25B3%25B42.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370820420185594930″ caption=”원래 페이스북 피싱링크 유포지로 추정되는 사이트” type=”image” alt=”fb-추가정보2.png” ]

해당 피싱링크 사이트를 찾던도중, 원래 첫 유포지로 추정되는 홈페이지의 주소를 확인했다. 피싱 사이트에 접속하여 로그인에 성공이 되면 Google Tag 를 통해 ?success 를 보내는것으로 추정하고 있다.

해당 홈페이지의 index 는 random.html 을 불러오고 이 random.html 은 첫 유포지로 추정되는 사이트에 올라온 아무 tag 를 하나를 불러와 상단에 있는 피싱 페이스북 링크와 동일하게 구현이 되어있다.

[pe2-image src=”https://lh3.googleusercontent.com/-pCJ7byodGwo/WGmza8gE9TI/AAAAAAAAFg0/noo4b0JIZoggN9YOqP-Vv6l_Ubk8CqJ_QCCo/s144-c-o/fb-%25EC%25B6%2594%25EA%25B0%2580%25EC%25A0%2595%25EB%25B3%25B43.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370820423390917938″ caption=”원래 페이스북 피싱링크 유포지로 추정되는 사이트 IP 및 위치” type=”image” alt=”fb-추가정보3.png” ]

첫 유포지로 추정되는 사이트는 홍콩에서 운영되고 있다.

[pe2-image src=”https://lh3.googleusercontent.com/–5pAT63T4pI/WGmza_PeQJI/AAAAAAAAFg0/b4Akgru_KBkYPUCr68acAW9umCNJFVZhQCCo/s144-c-o/fb-%25EC%25B6%2594%25EA%25B0%2580%25EC%25A0%2595%25EB%25B3%25B44.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370820424126578834″ caption=”처음 페이스북 URL 링크 유포지로 추정되는 페이스북 타임라인 링크” type=”image” alt=”fb-추가정보4.png” ]

페이스북 타임라인 쪽에서도 진행이 되는것으로 추정이 되고 있다. 페이스북 타임라인 파라메터 링크를 담고 있는 txt 파일이 포함된 내용이 해당 홈페이지에 올라와있다.

[pe2-image src=”https://lh3.googleusercontent.com/-uGOWHjNQLG4/WGmzaw9ZqTI/AAAAAAAAFg0/oqPDJxGIei42REo0x3vEYsgt-eGiQu7RwCCo/s144-c-o/fb-%25EC%25B6%2594%25EA%25B0%2580%25EC%25A0%2595%25EB%25B3%25B45.png” href=”https://picasaweb.google.com/108868947737276920881/6298550190759059361#6370820420292684082″ caption=”처음 페이스북 URL 링크 유포지로 추정되는 페이스북 타임라인 링크의 내용물” type=”image” alt=”fb-추가정보5.png” ]

News 라는 타임라인에서 해당 동일한 URL이 약 18,000 명에게 공유가 되었음을 확인할 수 있었다.

보안 권고사항

 

  1. 출처를 알 수 없는 홈페이지의 링크는 누르지 않는다.
  2. 만약 해당 피싱 사이트에 로그인을 했다면 계정 비밀번호를 변경OTP 인증(페이스북 앱 혹은 Google OTP 인증)을 설정한다.