□ 개요
포털사이트 다음(Daum)을 사칭한 피싱 메일이 유포되어 국내 사용자들의 주의가 필요하다.
□ 내용
보낸 사람을 확인해보면 notise-master@daurn.net 로 철자 'm'과 비슷한 'rn'을 사용하여 다음 포털사이트에서 보낸 것처럼 속이고 있다. 메일 주소와 본문 형식이 마치 다음(Daum) 고객센터에서 보낸 메일처럼 속여서 의심 없이 비밀번호 변경하도록 유도하는 피싱 메일이다.
‘지금 비밀번호 변경하러 가기’ 버튼을 클릭하면 비밀번호 변경 페이지가 나오는데 다음(Daum), 카카오와 전혀 무관한 피싱 웹 사이트로 이동한다. 이 웹 사이트는 실제 카카오 홈페이지와 유사하게 만들어져 있다.
사용자가 비밀번호 오타를 낼 가능성을 고려하여 정확한 비밀번호를 탈취하기 위해 사용자로부터 여러 번 비밀번호를 입력 받아서 서버로 전송시킨다.
현재 국내 S여대 웹 주소를 통해 탈취한 패스워드를 전송하고 있으며, 브라우저를 통해 해당 URL로 접속하면 랜덤한 페이지로 리다이렉션 시켜서 페이지를 감춘다.
[그림 4] C&C 정보
[그림 5] URL 파라미터 값
피싱 페이지의 소스 코드를 확인해보면 아이디가 하드 코딩되어 있음을 알 수 있는데 이는 불특정 다수를 노리는 것이 아니라 특정 인물을 타겟으로 Daum 카카오 계정 비밀번호를 노리는 것을 확인할 수 있다.
uid, ntid 같은 값들은 특정한 식별자로 사용되는 값으로 볼 수 있는데 이는 특정 그룹을 타겟할 가능성 일 수도 있다는 것을 유추해볼 수 있다.
[그림 7] HTML 소스코드
□ 바이로봇 업데이트 내역
EML.S.Phishing.45400
HTML.S.Phishing.332772