울지않는벌새 : Security, Movie & Society

"[Daum] 해외 로그인이 차단되었습니다" 피싱(Phishing) 메일 주의 (2016.10.6)

벌새::Analysis

국내 최대 포털 사이트 네이버(Naver) 계정 정보를 수집할 목적으로 과거부터 지속적으로 피싱(Phishing) 사이트를 제작하여 로그인 정보를 입력하게 유도하는 사례는 블로그를 통해 꾸준하게 공개하고 있었습니다.

 

 

반면 다음(Daum) 계정과 관련된 피싱(Phishing) 사이트의 경우에는 한 번도 소개한 적이 없었기에 최근 미국(USA)에 위치한 종교 사이트를 해킹하여 다음(Daum) 포털 사이트 로그인 정보를 수집하는 사례에 대해 살펴보도록 하겠습니다.(※ 관련 정보를 제보해주신 분에게 감사드립니다. )

 

 

접근 방법에 대해 살펴보면 다음(Daum) 계정 소유자에게 Daum 고객센터에서 발송한 것처럼 위장한 이메일을 통해 "[Daum] 해외 로그인이 차단되었습니다" 제목으로 발송이 이루어집니다.

 

특히 "web-master@mail.hanmail.net" 이메일 주소를 사용하여 마치 Daum 고객센터에서 발송한 것처럼 조작을 하는 것으로 보입니다.

 

메일 내용에서는 조작된 접속 일시, IP 주소, 위치 정보를 표시하여 메일을 수신한 Daum 회원으로 하여금 "비밀번호 변경 바로가기" 링크를 클릭하도록 유도하고 있습니다.

 

그런데 해당 링크 주소를 살펴보면 실제 Daum 회원 정보 변경 페이지가 아닌 외부에 위치한 종교 사이트 주소(h**p://www.****.net/change/password.daum/#[Daum 이메일 주소])임을 확인할 수 있습니다.

 

 

연결된 비밀번호 변경 페이지는 실제 비밀번호 변경 페이지(h**ps://member.daum.net/change/password.daum)와 디자인이 100% 일치하기에 URL 주소를 재확인하지 않는다면 쉽게 속을 수 있습니다.

 

 

만약 의심없이 현재 비밀번호와 새 비밀번호를 입력한 후 저장 버튼을 클릭하면 실제와 동일하게 현재 로그인되어 있는 다른 기기에 대한 로그아웃 여부를 선택하는 옵션창이 생성됩니다.

 

 

이후에는 정상적인 Daum 로그인 페이지(h**p://login.daum.net/accounts/loginform.do?url=***)로 연결되어 정상적으로 처리가 이루어진 것처럼 구성되어 있습니다.

 

이 과정에서 입력된 비밀번호 정보는 최초 Daum 피싱(Phishing) 사이트에 포함된 이메일 주소 정보와 함께 해킹된 종교 사이트에 전송되는 것을 확인할 수 있습니다.

 

특히 해당 종교 사이트는 2016년 7월 전후로도 Daum 피싱(Phishing) 사이트로 악용된 적이 있다는 점에서 차후에도 지속적으로 포털 사이트 로그인 정보 수집에 사용될 가능성이 높아보입니다.

 

그러므로 계정 정보 해킹으로 인한 비밀번호 안내 메일을 받은 경우에는 메일에서 제공하는 링크를 클릭하여 연결된 페이지의 URL 주소를 꼼꼼하게 확인하는 습관을 가지시기 바라며, 되도록이며 중요 정보 입력 시에는 링크를 통해 바로 접속하지 않고 해당 사이트를 직접 찾아 접속하는 것도 현명한 방법이라고 생각합니다.