본문 바로가기

벌새::Analysis

Referrer 체크를 통한 티스토리(Tistory) 블로그 악용 사례 (2013.1.28)

최근 네이버(Naver) 지식인 서비스에 다수의 계정을 이용하여 성인 화상 채팅 관련 홍보글을 작성하는 마케팅 행위에 티스토리(Tistory) 블로그를 이용하는 부분을 확인할 수 있었습니다.

실제 홍보에 이용된 글을 확인해보면 정상적인 티스토리 블로그 링크를 클릭하도록 하는 방식으로 구성되어 있습니다.

하지만 해당 블로그 URL 주소를 따로 추출하여 웹 브라우저를 이용해 접속해보면 그림과 같이 아무런 글이 존재하지 않는 홍보 목적으로 개설된 블로그로 보입니다.

 

그렇다면 과연 어떻게 사용자가 홍보글의 링크를 클릭하였을 경우 목적을 달성하는지 확인해 보도록 하겠습니다.

우선 네이버(Naver) 지식인 질문글에 등록된 부분의 소스를 확인해보면 티스토리(Tistory) 블로그 링크에는 어떠한 꼼수 태그(Tag)도 존재하지 않습니다.

하지만 해당 링크를 클릭할 경우에는 "sexymoa.tistory.com → joa***.net → **goi.kr → blog-imgs-51.fc2.com" 순서로 자동 연결이 이루어지는 것을 확인할 수 있습니다.

 

이는 결국 홍보글이 아닌 티스토리(Tistory) 블로그에 어떤 연결 고리가 있음을 의미하므로, 해당 블로그 소스의 확인해 보았습니다.

블로그 소스를 확인해보면 스크립트(Script)를 추가하여 "naver", "daum"이라는 리퍼러(Referrer) 값을 포함한 접속이 이루어질 경우에는 "joa***.net" 사이트로 연결하도록 하는 부분을 발견할 수 있습니다.

이를 통해 광고자는 네이버(Naver)와 다음(Daum) 서비스에 무차별 도배를 통해 특정 티스토리(Tistory) 블로그로 접속하도록 유도하며, 접속자의 Referrer 값을 체크하여 조건에 맞는 경우에는 자동으로 몇 단계의 도메인을 거쳐 일본(Japan)에 등록된 홍보 페이지로 납치를 하게 됩니다.

 

만약 단순히 해당 티스토리(Tistory) 블로그 주소를 쳐서 들어오거나 다른 조건으로 들어온 경우에는 정상적인 티스토리(Tistory) 메인 화면만 제시하여 별 다른 문제가 없는 것처럼 속이고 있습니다.

 

이미 다음(Daum)측에서는 해당 블로그를 정책 위반으로 차단한 상태지만, 언제든지 다른 블로그를 이용하여 위와 같은 방식으로 악용할 소지가 다분하기에 기록으로 남깁니다.