태그: 피싱

네이버 신규 피싱 사이트 주의 (17.08.13)

자극적인 내용의 피싱 유도 내용 주의

네이버는 https 연결 및 자물쇠 로고가 반드시 표시되므로 피싱과 혼동되면 안되…

 

피싱 사이트는 매우 많다. 애플, 구글, 네이버 등을 포함해서 대부분의 유명 사이트 로그인들은 전부 악성 피싱 사이트들이 필히 존재하기 마련이다.

 

이번엔 네이버 피싱이 급격하게 네이버 카페를 통해 17년 08월 13일 오후 6시 경부터 배포되기 시작했다.

 

이번 피싱 사이트는 특이하게 즉시 네이버 로그인 창으로 연결되는 것이 아닌, 일반 사이트들 처럼 실제 내용인것마냥 일차적으로 안심하는 화면을 보여준 다음, 실제 피싱 사이트를 보여줘서 로그인을 유도한다.

 

아래 내용을 참고하여 신규 네이버 피싱사이트를 예방하도록 하자.

 


 

피싱사이트 내용

 

1.png

네이버 카페를 중점으로 피싱 사이트가 유포되고 있다.

 

자극적인 제목과 함께 사이트 접속을 유도하며 접속하면 아래와 같은 화면이 출력이 된다.

 

 

2.png

 

사이트에 접속시 유튜브 재생 화면 UI를 똑같이 가져온 이미지 파일이 한장 보인다. 이를 재생하려고 아무 버튼을 누르는 경우 네이버 피싱 로그인 사이트로 이동한다.

 

 

 

3.png

피싱 사이트는 네이버 계정에 대한 실제 계정 접속에 대한 검증은 하지 않으며, 로그인 버튼을 누를 경우 특정 네이버 TV 영상으로 연결을 시도한다.

 

공식 사이트는 아니므로 접속은 자제하는것이 좋으며, 악성 사이트에 대한 내용은 빠른 신고를 통해 차단이 될 예정이다.

 

4.png

로그인을 마친 경우, 네이버 TV 사이트로 연결이 되는데, 피싱 사이트 배포자가 왜 이 영상에 대해 Redirect 해놓은 이유는 모르겠으나, 로그인 한 내용과 관계없이 네이버 TV로 연결이 된다.

 

 


 

 

 

끝으로

 

네이버는 피싱사이트와의 구별을 하기 위해 https:// 연결과 자물쇠 모양이 반드시 표기되도록 되어있다.

 

이것이 아닌경우 피싱 사이트임을 의심하는것이 좋다.

 

계정 OTP 등을 설정하여 2차적인 피해를 막는것도 좋다.

페이스북 피싱 사이트 주소 활보, 주의 요망

페이스북 피싱

 

이미지 3.png

2017년 01월 01일 부터 80.483.356 views 라는 이름으로 등장한 영상 주소처럼 위장한 서브도메인이 매우 긴 홈페이지에 방문하여, 페이스북 로그인을 시도하자 계정이 탈취되어 제 3자가 태그를 한 후 해당 동일 도메인을 뿌린다는 제보가 등장했다.

 

 

이미지 4.png

해당 홈페이지를 직접 방문해서 확인해 본 결과, 피싱 사이트로 리다이렉트 되는것을 확인했다.

정상적인 계정으로 로그인 시 계정이 탈취되어 친구추가되어있는 사용자를 전부 태그하고 동일한 주소로 게시글을 올리는것이 확인이 되었다.

추가사항

 

fb-추가정보1.png

페이스북에서 01월 01일 자로 유포가 되던 홈페이지의 IP 주소는 프랑스에 위치한 것으로 표시되고 있다.

api.js 라는 파일명으로 되어있는 난독화된 자바스크립트 내용도 확인되고 있다.

/m/ 사이트에 접속하지 않고 index 로 접속시 slimspots(해외 광고 출력 사이트) 에서 제공하는 랜덤한 성인사이트 홈페이지로 302 redirect 확인되고 있음

fb-추가정보2.png

해당 피싱링크 사이트를 찾던도중, 원래 첫 유포지로 추정되는 홈페이지의 주소를 확인했다. 피싱 사이트에 접속하여 로그인에 성공이 되면 Google Tag 를 통해 ?success 를 보내는것으로 추정하고 있다.

해당 홈페이지의 index 는 random.html 을 불러오고 이 random.html 은 첫 유포지로 추정되는 사이트에 올라온 아무 tag 를 하나를 불러와 상단에 있는 피싱 페이스북 링크와 동일하게 구현이 되어있다.

fb-추가정보3.png

첫 유포지로 추정되는 사이트는 홍콩에서 운영되고 있다.

fb-추가정보4.png

페이스북 타임라인 쪽에서도 진행이 되는것으로 추정이 되고 있다. 페이스북 타임라인 파라메터 링크를 담고 있는 txt 파일이 포함된 내용이 해당 홈페이지에 올라와있다.

fb-추가정보5.png

News 라는 타임라인에서 해당 동일한 URL이 약 18,000 명에게 공유가 되었음을 확인할 수 있었다.

보안 권고사항

 

  1. 출처를 알 수 없는 홈페이지의 링크는 누르지 않는다.
  2. 만약 해당 피싱 사이트에 로그인을 했다면 계정 비밀번호를 변경OTP 인증(페이스북 앱 혹은 Google OTP 인증)을 설정한다.

네이버 이메일 용량 초과 피싱 유포… 공인된 네이버 메일 아니면 조심해야

네이버 계정탈취, 2016년 여름 들어 급증

공인된 네이버 주소가 맞는지 확인하는 습관 가져야

 

Phishing
Phishing

 

네이버 계정을 탈취하는 가짜 사이트들이 최근들어 증가하고 있다.

 

단순 me2.do 단축형 URL 링크부터 최근들어서 네이버 계정을 뺏기위해서 여러 수법들이 사용되고 있는 추세이다.

 

오늘은 이메일 용량 초과를 빌미로 계정정보를 탈취하는 신규 피싱 사이트에 대해 정보를 습득했다.

 

 

 

갈수록 늘어나는 네이버 피싱, 이번엔 이메일 용량 초과 관련 피싱?

 

그렇다.

 

이미지 3.png

이메일 관련해서 용량이 초과되어 24시간 이내로 계정에 로그인해 결제를 하라는 내용의 피싱이다.

샘플을 받아 홈페이지에 접속을 해 보았다.

이미지 4.png 이미지 5.png

Google Safe Browsing 과 Avast 가 피싱 홈페이지임을 감지하고 차단을 시도한다.

샘플 수집을 위해 접속한 것이므로 무시하고 진행 했다.

이미지 6.png

네이버와 똑같이 생긴 로그인 사이트이다.

단지 영문이며(공식 네이버도 영문 지원), 한번더 비밀번호를 묻는 것 이외엔 네이버랑 똑같이 생겼다.

계정에 아무렇게나 정보를 입력 후 로그인을 해보았다.

이미지 7.png

“귀하의 계정이 업데이트 되었습니다, OK 버튼을 클릭하여 계속 진행하세요.”

라는 문구가 뜨면서 확인을 누르면 네이버 메인 홈페이지로 진행을 한다.

위 피싱 사이트 관련해서는 이미 신고처리를 하였으며, 네이버 피싱 사칭 관련해서 최근 급증을 하는 만큼 피해 예방에 최선을 다하기 위해 지식인 등지에서 업로드 되는 모든 내용을 최대한 검토하여 피싱 관련 문제가 있으면 즉각적인 답변을 통해 빠르게 처리를 도와주고 있다.

계속되는 피싱, 도대체 왜 네이버 계정을?

 

솔직히 말해서 왜 네이버 계정을 계속 탈취하려는 시도가 잦은지 모르겠다. 그런데 역으로 한번 생각해보면 이럴 것 이다.

 

계정탈취자의 입장에서 생각하면 한국에서 가장 큰 포털사이트 계정을 탈취하여 불법적인 광고등으로 사용하기 쉽고, 또한 대형 포털사이트 이니 만큼 계정 자체의 비밀번호나 공인인증서등 다른 비밀번호도 네이버랑 동일하게 할 가능성이 매우 높기에 다른 홈페이지도 함께 털기 쉽다고 생각할 수 있겠다.

 

 

계정 자체를 소중히 하기 위해서는 이메일등에 있는 주소나 파일등을 함부로 열지 않는게 매우 중요하다.

 

 

예방법

 

피싱에 당하지 않기 위해서는 아래와 같은 습관이 필요하다.

  1. 출처를 알 수 없는 이메일에 날라온 주소나, 첨부파일을 함부로 열지 않는다.
  2. 공인된 네이버 주소임을 확인하는 습관을 가지는것이 중요하다.
  3. 백신 소프트웨어 업데이트 및 운영체제 보안 업데이트를 반드시 한다.

 

조금만 더 생각을 하면 쉽게 막을 수 있는 피싱, 관심을 가지고 노력을 해보면 피싱에 의해 계정이 털리는것을 막을 수 있을 것 이다.

 

더보기

네이버 지식인 로그인 관련 피싱 : (링크)

2016.06.27 네이버 가짜 로그인 사이트 (07.15 신규 피싱 주소 추가)

내가 보는 네이버 로그인 창이 진짜 네이버란 보장이 없다

네이버랑 똑같은 UI 구성, 잘 모르는 사용자는 속아넘어갈 수 있어…

 

 

네이버랑 똑같이 생긴 피싱사이트가 최근 me2.do 단축 URL을 통해 유포되고 있다.

 

me2.do 는 네이버에서 제공하는 Me2Day(이하 미투데이, 현재 서비스 종료)의 단축 URL 서비스 였으나, 서비스가 종료되고 미투데이 단축 URL 대신에 네이버에서 제공하는 자체 단축 URL 개념처럼 이용할 수 있도록 공개적으로 열려있으나 최근 가짜 로그인창등 여러 내용으로 악용하는 경우가 급증해졌다.

이미지 7.png

현재 네이버 지식인에서 답변으로 me2.do 의 단축 URL을 사용하는 경우가 급증해졌다. 위 사진은 실제 계정이 탈취당한 사용자의 답변이다.

아래 내용은 27일 일자로 신규로 보이는 듯한 네이버 계정탈취 사이트(가짜 사이트)이다. 어떤점이 다른지 한번 짚어 넘어가 보자.

가짜 네이버 로그인 사이트. 어떻게 생겼길래?

 

0627네이버피싱.png

 

 

위 사이트는 가짜 네이버 로그인 창으로 접속하는 me2.do 단축 URL 이다. (보안상 주소 가림)

 

해당 사이트에 접속을 해보았다.

 

Read More