포스팅 내용

악성코드 분석 리포트

모바일 중고거래 사이트를 이용한 피싱 및 금융 사기 주의!!




안녕하세요. ESRC(시큐리티 대응센터)입니다.


국내 최대 모바일 중고거래 사이트에서 물품 구매 시 특정 메신저를 이용한 피싱사이트 유포와 금융 사기가 발견되어 사용자들의 주의가 필요합니다.


국내 최대 포털 중고거래 사이트에서도 이와 같은 사기 수법이 발견된 적이 있습니다.



기존 수법과 동일하게 정상적인 중고거래 사이트에서 사용자가 물건 구매를 위해 특정 메신저로 연락을 취하면 중고거래 사이트의 전용 송금방식을 이용하여 거래를 하기 위해 허위 피싱사이트 링크를 전달합니다.



[그림1] 특정 메신저에서 전달되는 피싱사이트 화면



사용자는 구매 진행을 위해 메신저에 기재된 링크를 클릭할 경우, 정교하게 만들어진 중고거래 피싱 사이트로 이동하게 됩니다.



[그림2] 중고거래 피싱 사이트 메인 화면



피싱 사이트로 이동한 사용자가 구매를 위해 구매 버튼을 클릭하게 되면 사용자의 계정 정보를 가로채기 위한 로그인 화면에 노출됩니다.


사용자 계정을 가로채기 위한 위장 로그인 방식은 중고거래 사이트 위장 방식과 포털 사이트 위장 방식 2가지 형태로 구성되어 제작되었습니다.

 


[그림3-1] 사용자 정보를 가로채기 위한 로그인 화면 1



[그림3-2] 사용자 정보를 가로채기 위한 로그인 화면 2



사용자는 구매 결제를 위해 로그인 계정과 패스워드를 입력하면 주문/결제 페이지로 이동합니다. 로그인에 사용된 정보들은 모두 개인 정보 수집 사이트로 전송됩니다.



[그림 4] 중고 사이트 주문/결제 페이지와 동일하게 만들어진 피싱 사이트 화면

 


공격자는 금융 사기를 위해 사용자의 추가적인 개인 정보 및 거래 정보 기재를 유도합니다.

이 때에도 사용자가 기입한 정보들은 모두 개인 정보 수집 사이트로 전송됩니다.



[그림5] 사용자 정보를 추가로 수집하기 위한 피싱사이트 화면



전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.



[그림6] 수집 된 개인정보 내용



기존에는 특정 중고거래 사이트를 대상으로 이러한 피싱사이트를 제작하고 유포되었지만, 현재 중고거래를 할 수 있는 사이트들을 모두 타깃으로 잡고 제작을 하는 것으로 보입니다. 


따라서 중고거래 사이트 이용 시 개인 정보를 입력해야 하는 경우에는 현재 사이트가 정상적인 사이트인지 아닌지 인터넷 주소를 확인하는 습관을 들여야 합니다.


이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 허위 거래사이트 및 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



[그림7] ESTSecurity-Threat Inside 허위 거래사이트 탐지 화면



티스토리 방명록 작성
name password homepage