2014년 5월 21일경부터 보고되고 있는 가짜 네이버(Naver) 로그인 페이지를 이용한 계정 정보 수집을 목적으로 제작된 피싱(Phishing) 사이트에 대해 살펴보도록 하겠습니다.
해당 사이트는 최소 10일간 해킹된 상태로 유지되어 특정 조건을 만족하는 접속시 피싱(Phishing) 사이트로 연결이 이루어지도록 제작되어 있습니다.
연결되는 대표적인 방식으로는 사용자가 네이버(Naver) 검색을 통해 문제의 사진 촬영 관련 인터넷 쇼핑몰에 접속하는 과정에서 피싱(Phishing) 페이지로 연결될 수 있습니다.
또 다른 접근 방식으로는 네이버(Naver)에서 운영하는 검색 광고 "파워링크"에 등록된 광고 링크를 통해 접속시 피싱(Phishing) 페이지로 연결될 수 있습니다.
- h**p://www.bbo****.com/shop/data/skin/season2/common.js
연결되는 과정에서는 2009년경부터 확인되고 있는 중국(China)에서 사용된 악성 스크립트에 포함된 "YTloveSF=" 쿠키(Cookies)값을 체크하여 특정 스크립트로 연결을 시도하도록 구성되어 있습니다.
- h**p://www.bbo****.com/shop/naver/2.js
연결된 스크립트 값에서는 쿠키(Cookies)와 리퍼러(Referrer)를 체크하여 조건에 만족할 경우 피싱(Phishing) 페이지로 연결이 이루어집니다.
- h**p://www.bbo****.com/shop/naver/nidlogin.login.html
연결된 최종 피싱(Phishing) 페이지는 상당히 정교하게 만들어진 네이버(Naver) 로그인 페이지로 구성되어 있으며, 웹 브라우저의 주소 표시줄에 표시된 주소를 자세히 보시면 네이버(Naver) URL 값이 아님을 확인할 수 있습니다.
그렇다면 이 부분에서 공격자가 노린 피싱(Phishing) 기법의 핵심은 사용자가 접속한 쇼핑몰은 네이버(Naver) 아이디(ID)로 구매 및 결제 할 수 있도록 네이버 체크아웃(Naver Checkout)에 등록된 사이트라는 점입니다.
이로 인하여 일부 사용자는 큰 의심없이 쇼핑몰 사이트 접속시 생성되는 네이버(Naver) 로그인 페이지에 아이디(ID)와 비밀번호를 입력하여 로그인을 시도할 수 있는 점을 노리고 있습니다.
- h**p://www.ns***.co.kr/config/naver/sp/naver.php
해당 네이버(Naver) 로그인 피싱(Phishing) 페이지의 소스를 확인해보면 로그인 양식은 해킹된 것으로 보이는 국내 특정 낚시 관련 웹 페이지로 정보를 전송할 수 있도록 제작된 것을 알 수 있습니다.
실제로 가짜 네이버(Naver) 로그인 양식에 계정 정보를 입력하여 로그인을 시도할 경우에는 낚시 웹 서버로 전송을 전송한 후 자동으로 사용자가 접속을 하려는 사진 촬영 관련 인터넷 쇼핑몰로 연결되어 의심하지 못하게 속이고 있습니다.
일반적으로 네이버(Naver)에서는 정상적인 로그인 페이지와 피싱(Phishing) 사이트를 구분할 수 있는 방법으로 주소 표시줄에 표시된 보안 접속(https://) URL 주소와 녹색 인증서로 구분하라고 공지를 하고 있습니다.
- h**p://nid.naver.com/nidlogin.login?mode=form
하지만 조사를 해보면 특정 경로를 통해 네이버(Naver) 로그인 창이 생성되는 주소에서는 보안 접속(https://) 방식을 연결되지 않는 부분이 있으므로 사용자에게 혼동을 준다는 점도 있습니다.
가장 확실한 피싱(Phishing) 사이트 여부 확인 방법은 주소 표시줄에 표시된 URL 주소를 잘 확인하는 방법 밖에는 없지만 이것 역시 DNS 서버 주소 또는 호스트 파일(hosts) 변조를 통해 정상적인 URL 주소로 피싱(Phishing) 페이지를 구현할 수 있다는 점에서 매우 주의가 요구됩니다.