포스팅 내용

악성코드 분석 리포트

해외 로그인 문자메시지로 위장된 국내 암호화폐 피싱 사이트 주의!!


안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 국내 암호화폐 사이트의 계정을 노리는 문자메시지가 발견되어 사이트 사용자들의 주의가 필요합니다. 


이번에 발견된 문자메시지는 “고객님계정 해외IP-103.208.220.195에서 로그인되였습니다. 본인이아닐경우에는 해외IP차단해주세요. www.coinoner[.]com” 내용으로 특정 코인 거래 사용자들에게 보내지고 있습니다.


문자메시지를 받은 코인 거래 사용자가 본인의 계정확인을 위해 문자메시지 내에 기재된 링크로 연결할 경우 사용자의 계정과 패스워드를 가로채기 위한 피싱 사이트로 연결됩니다.


[그림1] 문자메시지에 기재된 피싱 사이트 화면



피싱 사이트에는 최근 피싱 피해나 암호화폐 거래 대행에 대한 주의사항을 보여줌으로써 사용자들에게 실제 거래 사이트처럼 보일 수 있도록 표시되어 있습니다.


사용자가 문자메시지로 온 해외 IP 차단 내용을 확인하기 위해 사이트를 클릭할 경우 계정과 패스워드를 탈취하기 위한 페이지를 보여줍니다.


[그림2] 특정 코인 거래 사용자의 계정을 탈취하기 위한 피싱 사이트



사용자가 피싱 페이지에 암호화폐 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.


개인 정보 항목이 모두 전달된 후에는 실제 로그인 동작이 되는 것처럼 사용자를 속이게 됩니다.


[그림3] 사용자를 속이기 위한 로그인 진행 화면



전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.


개인 정보 피싱 및 수집 사이트 상세 정보

- 개인 정보 수집 사이트

http://www.coinoner[.]com/update.php


- 개인정보 전달 서버 IP

156.234.228[.]87


- 개인정보 내용

이메일주소, 암호, 사용자 IP주소, 접속 한 시간, 세션ID 등


이번 피싱사이트에 사용된 IP 주소를 추가적으로 조사 한 결과 3건의 유사 사이트를 확인하였습니다.

- coinoner[.]com (Created on 2020-10-18)


- coinonel[.]com (Created on 2020-10-17)


- coinonec[.]com (Created on 2020-10-16)


- coinoine[.]com (Created on 2020-11-01)


coinonve[.]com (Created on 2020-11-05)

 

이번 내용과 같이 암호화폐 피싱사이트는 실제 사용자들의 금전적인 피해로 이어질 수 있기 때문에 확인되지 않은 문자메시지 또는 링크가 존재할 시 각별한 주의가 필요합니다.


ESRC는 이번 국내 암호화폐 피싱사이트에 대해서 탈륨 조직이 개입되어 있는 것으로 판단되어 신속한 대응을 위해 관련 보안체계를 강화할 예정입니다.


또한 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.




티스토리 방명록 작성
name password homepage