본문 바로가기

기타

최근에 받은 피싱메일

반응형

최근에 피싱메일을 받았다.

보자,



이렇게 생겼다. 발신자에 흔한 한국이름을 사용했고, 발신자 메일도 신뢰성 높은 kaist 메일주소로 위장했다.

그런데, 메일내용은 뜬금없이 주문과 관련된 비즈니스 메일이다. 한글도 없다. 아마도 이 피싱메일의 제작자는 한국인은 아니지 않을까?


첨부파일은 html 파일이고, 이걸 받아서 텍스트에디터로 열어 보았다.

문서파일의 확장자를 가졌다고, 그냥 더블클릭하면 안 된다. 확장자만 문서파일처럼 보이고, 실제로는 실행파일일 수도 있다.



내용을 살짝 보니, "Daum 로그인", "로그인 이용 중 IP가 변경되어 비밀번호 재확인이 필요합니다."와 같은 문구가 있고, 제일 아래쪽에는 로그인 입력을 받는 login form 도 보인다. 


아마도 일반적인 html 파일이고 생각없이 더블클릭을 하면, 다음 로그인이 다시 필요하다고 위장된 페이지가 나올 것 같다. 하지만, 비밀번호를 뺏어가기 위한 수작이니 속지 말아야 한다.


아마 많이 속게되는 시나리오는 첨부파일을 내려받지 않고, 다음메일에서 첨부파일 미리보기를 누르면, 저 페이지가 나와서, 다음에서 다시 로그인을 요구하는 구나라고 자연스럽게 비밀번호를 입력하는 시나리오다. 이런 식이면 아주 속기 딱 좋다. 소스를 보면 알겠지만, 이 페이지는 다음에서 로그인을 요구하는 페이지를 그냥 복제하고, 살짝 로그인 받는 url만 바꾸어 만들었을 것이다. 겉보기로는 속지 않을 수 없다.


이것이 가짜 피싱 페이지라는 것은 위 캡쳐의 아래에서 7번째 줄의 form 의 action 부분의 url을 확인해 보면 된다. form 은 html 에서 입력을 받는 태그이고, action 은 입력한 내용을 어떻게, 어디로 처리할 것인지를 나타내는 것이다. 비밀번호등을 입력하고, 확인, 로그인 등의 버튼을 누르면, 입력한 정보는 저 위의 http://www.andieeee-jo.com/folder_2018/showyou400.php 로 넘어가서 공격자가 수집하게 될 것이다.



728x90