얼마 전 네이버(Naver) 검색을 통해 네이버 체크아웃(Naver Checkout) 서비스에 등록된 웹 사이트에 접속하는 과정에서 가짜 네이버(Naver) 로그인 페이지로 연결하여 계정 정보를 탈취하는 피싱(Phishing) 사례를 소개한 적이 있었습니다.
그런데 해당 조직이 일반적인 웹 사이트 접속시 네이버(Naver) 로그인 페이지로 위장한 피싱(Phishing) 사이트로 연결하는 공격이 추가로 확인되어 살펴보도록 하겠습니다.
사용자가 네이버(Naver) 검색을 통해 만화 관련 특정 쇼핑몰을 검색하여 접속을 하는 과정에서 1차적으로 가짜 네이버(Naver) 로그인 페이지로 연결을 시도할 수 있습니다.
- h**p://www.t**nk.com/inc/dhtmllib.js
최초 연결되는 스크립트를 살펴보면 "nexznexxne=" 쿠키(Cookies)값을 포함하여 특정 스크립트 값을 로딩하도록 되어 있습니다.
- h**p://www.t**nk.com/event/naver/naver.js
연결된 스크립트에서는 리퍼러(Referrer) 값을 체크하여 네이버(Naver) 검색을 경유하여 접속한 경우에만 가짜 네이버(Naver) 로그인 페이지가 오픈되도록 되어 있습니다.
- h**p://www.t**nk.com/event/naver/nidlogin.login.html
이를 통해 최종적으로 연결되어 오픈된 페이지는 네이버(Naver) 로그인 페이지와 동일한 모습을 가지고 있으며, 주소 표시줄에 표시된 URL 주소를 제대로 확인하지 않고 아이디(ID)와 비밀번호를 입력할 경우 다음과 같은 서버로 정보가 탈취됩니다.
사용자가 입력한 네이버(Naver) 아이디(ID)와 비밀번호는 해킹된 만화 관련 쇼핑몰 서버로 전송이 이루어지는 것을 확인할 수 있으며, 자동으로 만화 관련 쇼핑몰 메인 페이지를 오픈하여 사용자의 눈을 속이고 있습니다.
그러므로 네이버(Naver) 검색을 통해 웹 사이트로 연결되지 않고 네이버(Naver) 로그인 페이지가 먼저 출력된다면 피싱(Phishing) 페이지일 가능성이 높으므로 함부로 계정 정보를 입력하여 피해를 당하는 일이 없도록 주의하시기 바랍니다.