울지않는벌새 : Security, Movie & Society

게임 정보 사이트 접속시 네이버 피싱(Phishing) 사이트 연결 주의 (2014.6.14)

벌새::Analysis

네이버(Naver) 검색 서비스를 이용하여 특정 웹 사이트를 접속하는 과정에서 네이버(Naver) 로그인 페이지로 구성된 피싱(Phishing) 사이트로 자동 연결되는 사례가 추가적으로 발견되어 정보를 공개해 드립니다.

이미 2014년 5월경부터 지속적으로 해킹을 통해 웹 사이트 접속시 피싱(Phishing) 사이트로 연결되어 네이버(Naver) 계정 정보를 수집하는 사례가 보고되고 있으므로 참고하시기 바랍니다.

이번에 확인된 게임 정보 사이트는 다음(Daum) 검색에서는 노출되고 있지만 네이버(Naver) 검색에서는 직접적으로 노출되지 않는 것으로 확인되고 있으며, 네이버(Naver) 측에서 1차적으로 인지하여 검색에 노출되지 않도록 조치를 한 것으로 추정됩니다.

이번 역시 피싱(Phishing) 사이트로 연결되기 위한 조건으로는 반드시 네이버(Naver) 검색 결과를 통해 게임 정보 사이트로 접속이 이루어지는 과정에서 발생합니다.

  • h**p://www.***gamenews.com/interview_2/files/cache/js_filter_compiled/
    0919f1fbfc1bbfdf60f853cbf93d9d8b.ko.compiled.js

게임 정보 사이트로 연결되는 과정에서 공격자가 추가한 스크립트 값을 통해 "nenene=" 쿠키(Cookies)값을 포함하고 있을 경우 특정 스크립트로 연결되도록 되어 있습니다.

  • h**p://www.***gamenews.com/files/attach/naver/game2.js

연결된 스크립트에서는 네이버(Naver) 검색을 통해 연결되었는지 리퍼러(Referrer)를 체크한 후 네이버(Naver) 로그인 피싱(Phishing) 페이지로 연결을 시도합니다.

  • h**p://www.***gamenews.com/files/attach/naver/nidlogin.login.html

최종적으로 연결된 네이버(Naver) 로그인 페이지는 매우 정교하게 제작되어 있으며, 사용자가 웹 브라우저의 주소 표시줄에 표시된 URL 주소를 통해 구분이 가능합니다.

 

참고로 정상적인 네이버(Naver) 로그인 페이지 URL 주소는 "nid.naver.com" 값을 가지고 있으므로 혼동하지 않도록 하시기 바랍니다.

  • h**p://www.***gamenews.com/security-zero/naver/naver.php

만약 사용자가 네이버(Naver) 로그인 페이지에 아이디(ID), 비밀번호를 입력하여 로그인을 시도할 경우에는 해당 게임 정보 사이트 내로 정보가 전송되어 수집이 이루어지고 있습니다.

로그인이 이루어진 후에는 자동으로 게임 정보 사이트로 자동 연결되도록 스크립트 값을 구성되어 있습니다.

 

위와 같은 네이버(Naver) 계정 탈취 방식의 핵심은 네이버(Naver) 검색을 통해 외부 사이트로 접속 과정에서 네이버(Naver) 로그인 페이지를 표시하여 정보를 수집하므로 사용자가 조금만 주의를 기울이시면 피해를 당하지 않습니다.

 

이렇게 수집된 네이버(Naver) 계정 정보는 불법 홍보를 목적으로 한 계정 판매에 이용될 것으로 추정되므로 만약 피해를 당하신 분들은 즉시 네이버(Naver) 비밀번호를 변경하여 2차 피해를 당하지 않도록 하시기 바랍니다.