北 해커 조직, '다음' 포털로 위장한 피싱메일: 1) 메일을 열 때 이미지표시하면 사용자 정보 전송 2) 피싱사이트에서는 daum.net계정로그인정보를 입력요구/탈취

다음넷(daum.net)을 위장해 해커가 만든 피싱사이트에 로그인유도한 다음, 이용자의 실제 다음넷(daum.net) 계정에서 정보를 빼내거나 계정탈취하는 수법입니다.

 

해킹메일에는 발신자 메일주소에 얼핏 다음넷(d a u m . n e t)처럼 보이는 이름을 넣어 속였고^[각주:1], 피싱사이트는 다음넷의 웹페이지 레이아웃을 베꼈다는 모양입니다.

저도 기사에 포함된 스크린샷을 확대해보고 m (m)이 아니라 rn (r n)인 걸 알았습니다. 휴.

 

밑에 적은 이야기지만 다시 적으면,

스크린샷 이미지를 보면, 해킹메일의  보낸 사람 메일주소가

notise-master@daurn.net 

입니다. "d a u m . n e t"(다음.넷)이 아니라, "d a u r n . n e t"(다우른.넷) 임에 주의하세요.

포털들은 앞으로 메일주소는 그냥 고정폭인 system 폰트로 표시하도록 해야 할까요?

 

https://n.news.naver.com/mnews/article/015/0004799612?sid=105 

北 해커 조직, '다음' 포털로 위장…"피싱메일로 정보탈취 시도"

 

 

스크린샷 이미지를 보면, 해킹메일의  보낸 사람 메일주소가

notise-master@daurn.net 

입니다. "d a u m . n e t"(다음.넷)이 아니라, "d a u r n . n e t"(다우른.넷) 임에 주의하세요.

메일주소는 그냥 고정폭인 system 폰트로 표시하도록 해야 할까요? 젠장.. 별별 사기꾼이 다 돌아다니네. ;;

 

출처: 보안뉴스

https://www.boannews.com/media/view.asp?idx=113472 

북한 김수키 해킹조직, 다음 메일 사칭해 카카오 계정 탈취 공격

 

(......) 공격자는 발신자 도메인을 daurn.net ( d a u r n . n e t )도메인을 사용해 daum ( d a u m )도메인처럼 보이려고 시도(......) 해당 이메일에는 ‘그림 자동 다운로드 옵션’이 활성화돼 있는 경우 사용자 정보를 제작자에게 전달하는 코드가 포함됐다. 다만 해당 옵션이 ‘width:0px;height:0px’로 설정돼 있어 실제 이미지는 사용자에게 보이지 않는다. (......)

(.....) 마이크로소프트의 아웃룩이나 구글 지메일의 경우 ‘그림 자동 다운로드’ 옵션 기능이 기본적으로 비활성화돼 있어 사용자가 직접 그림 자동 다운로드 안내창을 눌러야 (......) 국내 대표 포털 메일의 경우 기본적으로 ‘그림 자동 다운로드’ 옵션이 허용돼 있어 이메일 열람과 동시에 사용자 정보가 유출 (......)

(......) 이메일 본문 내 링크를 클릭하면, 카카오 로그인 페이지를 위장한 피싱 페이지로 접속 (......) 피싱 페이지는 카카오 계정 관리 페이지를 위장하고 있으며, 비밀번호 확인 및 변경을 이유로 비밀번호 입력을 유도 (......) 만일 사용자가 피싱 페이지에 비밀번호 정보를 입력하면, 입력한 정보는 고스란히 공격자 서버로 전송된다. (......)

- 보안뉴스/ 이스트시큐리티

 

1. 이 부분도 속이는 수법이 있었는지는 잘 생각나지 않는데.. 여러가지로 시도한 꼼수가 있기는 했을 겁니다. [본문으로]