태그: phishing

네이버 신규 피싱 사이트 주의 (17.08.13)

자극적인 내용의 피싱 유도 내용 주의

네이버는 https 연결 및 자물쇠 로고가 반드시 표시되므로 피싱과 혼동되면 안되…

 

피싱 사이트는 매우 많다. 애플, 구글, 네이버 등을 포함해서 대부분의 유명 사이트 로그인들은 전부 악성 피싱 사이트들이 필히 존재하기 마련이다.

 

이번엔 네이버 피싱이 급격하게 네이버 카페를 통해 17년 08월 13일 오후 6시 경부터 배포되기 시작했다.

 

이번 피싱 사이트는 특이하게 즉시 네이버 로그인 창으로 연결되는 것이 아닌, 일반 사이트들 처럼 실제 내용인것마냥 일차적으로 안심하는 화면을 보여준 다음, 실제 피싱 사이트를 보여줘서 로그인을 유도한다.

 

아래 내용을 참고하여 신규 네이버 피싱사이트를 예방하도록 하자.

 


 

피싱사이트 내용

 

1.png

네이버 카페를 중점으로 피싱 사이트가 유포되고 있다.

 

자극적인 제목과 함께 사이트 접속을 유도하며 접속하면 아래와 같은 화면이 출력이 된다.

 

 

2.png

 

사이트에 접속시 유튜브 재생 화면 UI를 똑같이 가져온 이미지 파일이 한장 보인다. 이를 재생하려고 아무 버튼을 누르는 경우 네이버 피싱 로그인 사이트로 이동한다.

 

 

 

3.png

피싱 사이트는 네이버 계정에 대한 실제 계정 접속에 대한 검증은 하지 않으며, 로그인 버튼을 누를 경우 특정 네이버 TV 영상으로 연결을 시도한다.

 

공식 사이트는 아니므로 접속은 자제하는것이 좋으며, 악성 사이트에 대한 내용은 빠른 신고를 통해 차단이 될 예정이다.

 

4.png

로그인을 마친 경우, 네이버 TV 사이트로 연결이 되는데, 피싱 사이트 배포자가 왜 이 영상에 대해 Redirect 해놓은 이유는 모르겠으나, 로그인 한 내용과 관계없이 네이버 TV로 연결이 된다.

 

 


 

 

 

끝으로

 

네이버는 피싱사이트와의 구별을 하기 위해 https:// 연결과 자물쇠 모양이 반드시 표기되도록 되어있다.

 

이것이 아닌경우 피싱 사이트임을 의심하는것이 좋다.

 

계정 OTP 등을 설정하여 2차적인 피해를 막는것도 좋다.

페이스북 피싱 사이트 주소 활보, 주의 요망

페이스북 피싱

 

이미지 3.png

2017년 01월 01일 부터 80.483.356 views 라는 이름으로 등장한 영상 주소처럼 위장한 서브도메인이 매우 긴 홈페이지에 방문하여, 페이스북 로그인을 시도하자 계정이 탈취되어 제 3자가 태그를 한 후 해당 동일 도메인을 뿌린다는 제보가 등장했다.

 

 

이미지 4.png

해당 홈페이지를 직접 방문해서 확인해 본 결과, 피싱 사이트로 리다이렉트 되는것을 확인했다.

정상적인 계정으로 로그인 시 계정이 탈취되어 친구추가되어있는 사용자를 전부 태그하고 동일한 주소로 게시글을 올리는것이 확인이 되었다.

추가사항

 

fb-추가정보1.png

페이스북에서 01월 01일 자로 유포가 되던 홈페이지의 IP 주소는 프랑스에 위치한 것으로 표시되고 있다.

api.js 라는 파일명으로 되어있는 난독화된 자바스크립트 내용도 확인되고 있다.

/m/ 사이트에 접속하지 않고 index 로 접속시 slimspots(해외 광고 출력 사이트) 에서 제공하는 랜덤한 성인사이트 홈페이지로 302 redirect 확인되고 있음

fb-추가정보2.png

해당 피싱링크 사이트를 찾던도중, 원래 첫 유포지로 추정되는 홈페이지의 주소를 확인했다. 피싱 사이트에 접속하여 로그인에 성공이 되면 Google Tag 를 통해 ?success 를 보내는것으로 추정하고 있다.

해당 홈페이지의 index 는 random.html 을 불러오고 이 random.html 은 첫 유포지로 추정되는 사이트에 올라온 아무 tag 를 하나를 불러와 상단에 있는 피싱 페이스북 링크와 동일하게 구현이 되어있다.

fb-추가정보3.png

첫 유포지로 추정되는 사이트는 홍콩에서 운영되고 있다.

fb-추가정보4.png

페이스북 타임라인 쪽에서도 진행이 되는것으로 추정이 되고 있다. 페이스북 타임라인 파라메터 링크를 담고 있는 txt 파일이 포함된 내용이 해당 홈페이지에 올라와있다.

fb-추가정보5.png

News 라는 타임라인에서 해당 동일한 URL이 약 18,000 명에게 공유가 되었음을 확인할 수 있었다.

보안 권고사항

 

  1. 출처를 알 수 없는 홈페이지의 링크는 누르지 않는다.
  2. 만약 해당 피싱 사이트에 로그인을 했다면 계정 비밀번호를 변경OTP 인증(페이스북 앱 혹은 Google OTP 인증)을 설정한다.