최근에 받은 피싱메일

최근에 피싱메일을 받았다.

보자,

이렇게 생겼다. 발신자에 흔한 한국이름을 사용했고, 발신자 메일도 신뢰성 높은 kaist 메일주소로 위장했다.

그런데, 메일내용은 뜬금없이 주문과 관련된 비즈니스 메일이다. 한글도 없다. 아마도 이 피싱메일의 제작자는 한국인은 아니지 않을까?

첨부파일은 html 파일이고, 이걸 받아서 텍스트에디터로 열어 보았다.

문서파일의 확장자를 가졌다고, 그냥 더블클릭하면 안 된다. 확장자만 문서파일처럼 보이고, 실제로는 실행파일일 수도 있다.

내용을 살짝 보니, "Daum 로그인", "로그인 이용 중 IP가 변경되어 비밀번호 재확인이 필요합니다."와 같은 문구가 있고, 제일 아래쪽에는 로그인 입력을 받는 login form 도 보인다. 

아마도 일반적인 html 파일이고 생각없이 더블클릭을 하면, 다음 로그인이 다시 필요하다고 위장된 페이지가 나올 것 같다. 하지만, 비밀번호를 뺏어가기 위한 수작이니 속지 말아야 한다.

아마 많이 속게되는 시나리오는 첨부파일을 내려받지 않고, 다음메일에서 첨부파일 미리보기를 누르면, 저 페이지가 나와서, 다음에서 다시 로그인을 요구하는 구나라고 자연스럽게 비밀번호를 입력하는 시나리오다. 이런 식이면 아주 속기 딱 좋다. 소스를 보면 알겠지만, 이 페이지는 다음에서 로그인을 요구하는 페이지를 그냥 복제하고, 살짝 로그인 받는 url만 바꾸어 만들었을 것이다. 겉보기로는 속지 않을 수 없다.

이것이 가짜 피싱 페이지라는 것은 위 캡쳐의 아래에서 7번째 줄의 form 의 action 부분의 url을 확인해 보면 된다. form 은 html 에서 입력을 받는 태그이고, action 은 입력한 내용을 어떻게, 어디로 처리할 것인지를 나타내는 것이다. 비밀번호등을 입력하고, 확인, 로그인 등의 버튼을 누르면, 입력한 정보는 저 위의 http://www.andieeee-jo.com/folder_2018/showyou400.php 로 넘어가서 공격자가 수집하게 될 것이다.