네이버 로그인 페이지 위장, 맨눈으로 구분 어려워
메일을 통한 로그인 페이지 접속 지양해야
[보안뉴스 박은주 기자] 네이버 페이지를 위장해 로그인 정보를 탈취하는 피싱 공격이 확인됐다. 공격자는 로그인 정보를 바탕으로 사용자의 OS와 브라우저 환경 및 국가·도시 등 추가 정보를 탈취했다. 수집한 정보는 추가 악성 행위의 표적이 될 위험이 있다. 따라서 메일을 통해 로그인 페이지에 접속할 때 각별한 주의가 요구된다.
▲네이버 공식 로그인 페이지와 피싱 페이지 비교[자료ㅕ=ASEC]
피싱메일 등 첨부 하이퍼링크를 통해 유포된 위장 페이지는 실제 네이버 로그인 페이지와 육안으로 구분이 불가능할 정도로 흡사하다.
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 위장 페이지에 로그인 정보를 입력하면, 공격자가 설정한 C2 서버로 정보가 전송된다. 즉 공격자가 위장 페이지를 통해 로그인 정보를 탈취하는 것. ASEC는 피싱 페이지 분석을 통해 다수의 PHP 코드를 획득했고, 탈취한 정보가 어떻게 처리되는지 확인했다.
▲로그인 정보와 Client 정보 탈취 코드(PHP 내부 코드)[자료=ASEC]
공격자는 패킷에 포함된 로그인 정보와 클라이언트 정보를 수집했다. 피싱 페이지를 통해 POST 방식으로 수신한 패킷에서 사용자가 입력한 E-mail 정보와 Password 정보를 수집했다. 정규표현식을 활용해 해당 패킷을 전송한 클라이언트 측의 OS 정보와 브라우저 환경을 파악했다.
공격자는 패킷에 포함된 ‘Source IP’ 정보를 활용해 ‘geoplugin’ 사이트에 쿼리해 해당 IP가 속한 국가·지역·도시 정보를 추가로 수집하고 있었다. 해당 사이트는 입력으로 받은 IP 주소에 대한 정보를 ‘json 포맷’ 형태로 반환해 주는 플러그인 형태의 정상 서비스다. 다만, 본 피싱 사례처럼 공격자 측에서도 악용할 수 있는 위험이 있다.
공격자는 위 항목에서 수집한 정보를 바탕으로 ‘$message 변수’를 완성했다. 해당 변수에는 피싱으로 수집한 로그인 정보(이메일, 비밀번호), IP 주소, 국가, 지역 및 도시, Client의 Browser 환경과 OS 정보가 포함돼 있다. 분석 과정에서 공격자로 추정되는 다수의 이메일도 확보됐으며 주로 베트남어로 구성돼 있었다.
이번 사례를 통해 공격자가 피싱 행위로 획득한 로그인 정보가 어떤 과정을 거쳐 공격자에게 전달되는지 확인할 수 있다. 탈취당한 사용자 정보는 추가 위협의 표적이 될 위험이 있다. 이에 출처가 불분명한 메일을 통해 로그인할 때는 주의가 필요하며, 주기적인 계정정보 관리가 요구된다.
[박은주 기자(boan5@boannews.com)]
메일을 통한 로그인 페이지 접속 지양해야
[보안뉴스 박은주 기자] 네이버 페이지를 위장해 로그인 정보를 탈취하는 피싱 공격이 확인됐다. 공격자는 로그인 정보를 바탕으로 사용자의 OS와 브라우저 환경 및 국가·도시 등 추가 정보를 탈취했다. 수집한 정보는 추가 악성 행위의 표적이 될 위험이 있다. 따라서 메일을 통해 로그인 페이지에 접속할 때 각별한 주의가 요구된다.
▲네이버 공식 로그인 페이지와 피싱 페이지 비교[자료ㅕ=ASEC]
피싱메일 등 첨부 하이퍼링크를 통해 유포된 위장 페이지는 실제 네이버 로그인 페이지와 육안으로 구분이 불가능할 정도로 흡사하다.
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 위장 페이지에 로그인 정보를 입력하면, 공격자가 설정한 C2 서버로 정보가 전송된다. 즉 공격자가 위장 페이지를 통해 로그인 정보를 탈취하는 것. ASEC는 피싱 페이지 분석을 통해 다수의 PHP 코드를 획득했고, 탈취한 정보가 어떻게 처리되는지 확인했다.
▲로그인 정보와 Client 정보 탈취 코드(PHP 내부 코드)[자료=ASEC]
공격자는 패킷에 포함된 로그인 정보와 클라이언트 정보를 수집했다. 피싱 페이지를 통해 POST 방식으로 수신한 패킷에서 사용자가 입력한 E-mail 정보와 Password 정보를 수집했다. 정규표현식을 활용해 해당 패킷을 전송한 클라이언트 측의 OS 정보와 브라우저 환경을 파악했다.
공격자는 패킷에 포함된 ‘Source IP’ 정보를 활용해 ‘geoplugin’ 사이트에 쿼리해 해당 IP가 속한 국가·지역·도시 정보를 추가로 수집하고 있었다. 해당 사이트는 입력으로 받은 IP 주소에 대한 정보를 ‘json 포맷’ 형태로 반환해 주는 플러그인 형태의 정상 서비스다. 다만, 본 피싱 사례처럼 공격자 측에서도 악용할 수 있는 위험이 있다.
공격자는 위 항목에서 수집한 정보를 바탕으로 ‘$message 변수’를 완성했다. 해당 변수에는 피싱으로 수집한 로그인 정보(이메일, 비밀번호), IP 주소, 국가, 지역 및 도시, Client의 Browser 환경과 OS 정보가 포함돼 있다. 분석 과정에서 공격자로 추정되는 다수의 이메일도 확보됐으며 주로 베트남어로 구성돼 있었다.
이번 사례를 통해 공격자가 피싱 행위로 획득한 로그인 정보가 어떤 과정을 거쳐 공격자에게 전달되는지 확인할 수 있다. 탈취당한 사용자 정보는 추가 위협의 표적이 될 위험이 있다. 이에 출처가 불분명한 메일을 통해 로그인할 때는 주의가 필요하며, 주기적인 계정정보 관리가 요구된다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
