국내 포털 사이트 네이버(Naver) 계정 정보를 수집할 목적으로 최근 활발하게 진행되고 있는 네이버 카페 게시글로 전파되는 여성 연예인 사생활 영상으로 위장한 네이버 피싱(Phishing) 방식에 대해 살펴보도록 하겠습니다.
▶ 자극적인 제목을 가진 카페 게시글을 통한 네이버 계정 탈취 주의 (2014.9.17)
네이버 피싱 사이트는 과거부터 다양한 방식을 이용하였으며 특히 매우 자극적인 제목이 포함된 게시글의 링크를 통해 접속을 유도하는 경우도 많았습니다.
해당 피싱 조직은 국내 여성 연예인과 중국 재벌과의 불륜 영상 유출이라는 제목을 통해 네이버 카페에 글을 게시하고 있으며, 해당 링크는 네이버TV 영상으로 연결되는 것처럼 보여줍니다.
해당 영상 유출 게시글을 확인한 사용자가 클릭을 할 경우 실제로는 단축 URL 주소(bit.ly)로 연결되어 다음과 같은 2개의 정상적인 웹 서비스를 거치게 됩니다.
단축 URL 주소는 특정 텀블러(tumblr) 주소의 게시글로 연결되도록 설정되어 있으며, 해당 게시글에서는 특정 티스토리(Tistory) 블로그로 연결되어 있습니다.
연결된 티스토리(Tistory) 블로그에서는 한글 도메인으로 작성된 .net 사이트로 연결되도록 설정되어 있으며, 이 과정에서 접속자는 텀블러와 티스토리 영역에 대해서는 화면 상으로는 전혀 표시되지 않고 자동으로 연결이 이어집니다.
이후 한글 도메인명을 가진 .net 사이트는 최종 네이버 피싱(Phishing) 사이트에 접속하여 위와 같이 실제 동영상 재생 버튼을 표시하여 사용자가 클릭하도록 유도를 하고 있습니다.
동영상 재생 버튼을 클릭할 경우 "연령 확인이 필요한 서비스입니다. 로그인후 이용해 주세요." 메시지를 통해 마치 성인인증을 위한 네이버(Naver) 로그인이 필요한 것처럼 구성되어 있습니다.
일련의 과정에서 접속한 사용자가 네이버 아이디(ID)와 비밀번호를 입력 후 로그인을 시도할 경우 중국(China)에 위치한 "diuqdq09haphqqna.werbaboi.xyz (103.118.221.147)" 서버로 계정 정보가 전송되며, 자동으로 네이버TV 특정 영상으로 연결이 이루어집니다.
실제 연결된 네이버TV의 동영상은 "채널 운영자에 의해 삭제되었거나 제공이 중지된 동영상입니다."라고 표시되는 것으로 보아, 해당 피싱 조직이 처음에는 어떤 동영상을 업로드하여 더욱 정교하게 제작을 하였다가 네이버측으로부터 삭제 처리된 것이 아닌가 추정됩니다.
이번 네이버 피싱 페이지를 이용한 활동은 부주의한 인터넷 사용자가 호기심에 웹 브라우저에 표시된 URL 주소를 제대로 확인하지 않고 가짜 네이버 로그인 페이지에서 정보를 입력하여 피해를 당하는 것으로 보이므로 피싱(Phishing)으로부터 안전하게 계정을 보호하기 위해서는 반드시 2중 인증을 통해 로그인할 수 있도록 추가적인 보안 조치를 하시고 사용하시기 바랍니다.
또한 웹 사이트에서 로그인을 할 때에는 습관적으로 주소창의 URL 주소를 확인하는 습관을 반드시 가지시기 바랍니다.