본문 바로가기

벌새::Analysis

2016년 5월 네이버(Naver) 피싱 사이트 정보 (2016.5.22)

최근 일부 관리가 부실한 웹사이트 해킹을 통해 네이버(Naver) 계정 정보를 수집할 목적으로 가짜 네이버 로그인 창으로 연결을 시도하는 피싱(Phishing) 활동이 확인되어 살펴보도록 하겠습니다.

 

 

패션 쇼핑몰 정보를 제공하는 A 사이트는 과거에도 취약점(Exploit)을 이용한 악성코드 유포에 악용된 적이 있으며, 현재 사이트 접속 과정에서 다음과 같은 외부 사이트에 등록된 스크립트 파일을 체크합니다.

 

h**p://www.spart**.com/bunsu/login.js

 

 

연결된 JS 스크립트 파일을 확인해보면 접속자의 adfwersfs= 쿠키(Cookie) 파일을 체크하여 기존에 접속한 적이 없는 사용자를 네이버(Naver) 피싱 사이트로 연결합니다.

 

h**p://www.spart**.com/bunsu/login.php

 

연결된 가짜 네이버(Naver) 로그인 페이지는 정상적인 화면과 일치하여 웹 브라우저 주소창에 표시된 주소를 제대로 확인하지 않을 경우 입력한 아이디(ID), 비밀번호 유출이 이루어집니다.

 

 

참고로 정상적인 네이버(Naver) 로그인 페이지의 주소창은 녹색으로 표시된 HTTPS 보안 접속 형태이며, 자물쇠 아이콘을 클릭할 경우 신뢰할 수 있는 인증서가 표시되어야 합니다.

 

만약 가짜 네이버 로그인 창에 아이디(ID)와 비밀번호를 입력한 후 로그인을 시도할 경우 해킹된 국내 특정 웹 서버로 계정 정보가 전송되는 것을 확인할 수 있으며, 이후에는 자동으로 최초 사용자가 접속하려는 웹사이트로 연결이 이루어집니다.

 

이번에 확인된 네이버(Naver) 피싱 활동은 또 다른 여행 관련 정보 제공 사이트(h**p://www.1**o.co.kr)에서도 확인되고 있으므로 사이트 접속 시 네이버(Naver) 로그인 창을 생성할 경우에는 절대로 정보를 입력하지 않도록 주의하시기 바랍니다.