국내 포털 로그인 페이지로 위장한 피싱 사례

AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 국내 포털 사이트의 로그인 화면과 동일한 피싱 파일의 유포를 확인하였다. 과거부터 다수의 국내 포털 사이트/운송, 물류업 브랜드/웹메일 로그인 페이지를 위장한 사례는 매우 빈번하게 확인되어왔다.

* 본문에서 비교자료로 사용한 좌/우 그림은, (좌측) 피싱페이지 (우측) 정상페이지 를 나타낸다.

위의 [그림 1]은 네이버 로그인 페이지를 위장한 피싱 페이지와 정상 페이지를, [그림 2]는 ‘doc003.shtml’ 의 파일명으로 유포된 피싱 HTML 파일과 정상 네이트메일 로그인 페이지를 나란히 캡쳐한 것이다.

언뜻 봐서는 정상/피싱을 구별할 수가 없을 정도로 동일한데, 이는 공격자가 정상 사이트의 소스코드를 그대로 사용하고 사용자가 입력하는 계정정보를 탈취하기 위한 목적으로 ID/PW의 데이터가 전달되는 주소/방식이 수정되었다. 아래의 그림 3,4 에서 확인할 수 있듯이, 피싱메일을 수신한 사용자의 ID가 자동 입력 되어있기 때문에 무심코 비밀번호를 입력할 가능성이 크다.

또한, 공격자는 계정정보를 유출하기 위한 방식으로 NoCodeForm을 활용하였다. NoCodeForm은 HTML 양식을 통해 전송된 결과를 사용자의 이메일/Slack을 통해 전달할 수 있는 방법을 제공한다. 계정을 생성하면 고유의 form-id가 만들어지고 이 form-id를 활용하여 외부 사용자의 입력값을 전달 받을 수 있다.

공격자는 정상 사이트 웹소스에 존재하는 form 태그의 onsubmit 이벤트핸들러를 action 속성으로 변조 후, 유출한 계정 정보를 전달하는 주소로 NoCodeForm form-id를 활용한다. 직접 테스트 해 본 결과 아래의 [그림 6]과 같이, 사용자가 입력한 계정 정보를 NoCodeForm에서 제공하는 기본 양식 혹은 사용자가 입력해놓은 Email/Slack 을 통해 수신할 수 있는 것으로 확인되었다.

ASEC에서 지속적으로 배포하고 있는 피싱 사례들을 살펴보면, 출처가 불분명한 메일의 첨부파일을 통한 로그인은 자제하는 것이 공통적으로 권고되고 있다. 이번 사례에서 확인된 것처럼, 공격자는 정상적인 웹사이트의 소스를 그대로 사용하기 때문에 정상 사이트와 구분하기가 쉽지 않다. 따라서, 정상적인 웹사이트 접속을 통한 로그인이 아니라면 로그인 시도 자체를 하지 말아야 하며, 만약 로그인 시도를 하였다면 관련된 모든 비밀번호를 즉시 변경할 것을 권고한다.

파일 진단
Phishing/HTML.FakeLogin.SC199025 (2024.04.12.00)
Phishing/HTML.FakeLogin.SC199026 (2024.04.12.00)

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.