컴퓨터 자료2019. 12. 22. 00:11

반응형

요즘들어 해외에서 해킹 시도가 줄을 잇고 있다. 랜섬웨어로 보이는 파일을 실행시켰더니 예상대로 컴퓨터가 랜섬웨어에 감염되는가 하면, 도메인 정보에 나온 이메일 등을 통해 도메인이 만료되었으니 돈을 내야 한다는 등의 사기성 메일을 자주 접할 수 있다. 

메일을 보니 Youtube 에서 Warning 이라는 제목의 이메일이 왔다. 

아마도 유튜브 채널을 운영하는 사람이라면 클릭해 볼 만한 제목이다. 

 

네 채널에 스팸비디오가 많이 올라왔다는 신고가 들어왔고, 아래 링크를 클릭해서 확인해보라고 한다. 스팸으로 표시된 영상을 수정하지 않으면 네 채널이 24시간 안에 닫히게 된다고 되어있다. 

당연히 낚시 메일로 판명되었지만, 무슨 목적을 가지고 이런 메일을 보냈는지 알아보기로 했다. 

 

링크를 클릭하니 구글 로그인 창이 뜬다. 하지만 이것은 구글의 로그인 창이 아니다. 

로그인창의 URL 을 보면 웬 듣보잡 URL 로 된 PHP 창인 것을 알 수 있다. 과거 해커들은 이런 방식을 통해 네이버 카페 등의 운영자 권한을 탈취하기도 하였다. 

심심해서 가짜 메일 주소를 입력해 보았다. 

당연하게도 구글 계정과는 아무 상관이 없으므로, 아이디의 존재 유무와 상관없이 비밀번호를 입력하라는 창이 떴다. 

이곳에도 아무 번호나 입력해 보았다. 

역시나, 로그인이 되지 않고 사용자가 머뭇거리는 시간을 벌기 위하여 로딩중 페이지를 보여주었다. 

요즘에는 로그인을 해도 휴대폰 번호를 통해 전달된 OTP 번호를 입력하지 않으면 로그인이 되지 않는 방식이 보편적으로 사용된다. 

만약 이 해커가 거기까지 생각을 했다면, OTP 번호를 입력하라는 창을 띄웠을 것인데.. 

그래서 테스트 겸, SMS 보안이 된 계정을 이용하여 아이디와 비밀번호를 입력해 보았다. 

6자리 숫자를 입력하라는 창이 뜨고, 휴대폰으로도 문자메세지가 왔다. 해커가 만들어 놓은 시스템은 사용자가 비밀번호를 입력하면 실시간으로 구글측에 입력되어 자동으로 로그인이 되는 방식이거나, 24시간 컴퓨터 앞에서 대기하면서 피싱에 낚인 사람들이 입력하는 정보를 수작업으로 동시에 입력하는 방식일수도 있다.  

파밍 페이지가 있는 URL 의 루트 폴더로 가 보았더니, 그래도 인사말은 적어 두었다. 

아마도 해커는 웹서버 로그에서 내 IP 주소를 확인할 수 있을 것이다. 

해당 도메인의 소유주를 알아보기 위해서 잠시 검색을 해 보았다. 

도메인을 생성한지 하루가 지났고, 1년짜리로 임대하였다. 

namecheap 이라는 곳에서 도메인을 등록하였고, 주소나 이메일 등이 진짜가 아닌 것 같은 느낌이 든다. 같은 번호를 줄지어 입력해 놓은 것을 보아, 다른 사람의 정보로 등록을 하였거나 가짜 정보를 입력하여 도메인을 얻은 것 같다.  

받는 사람 메일주소에 내 메일주소가 없어서 누구누구에게 메일을 보냈는지 확인해 보았다. 

메일 헤더 속에는 수 많은 사람들의 이메일 주소가 있었다. 구글에서 검색해 보니 해당 메일주소를 설명 페이지에 넣은 유튜브 채널들이 검색되었다. 

아마도 해커는 이들의 채널에 들어가서 수작업으로 이메일 주소를 수집했을 것이다. (내 채널은 이미지에 나온 숫자를 입력해야 메일 주소를 볼 수 있다. )

헤더 중간을 보니 보낸 사람이 사용하고 있는 것으로 추정되는 이메일 주소가 발견되었다. 

vfemail.net 이라는 곳에서 이메일 서비스를 이용하고 있는 듯 하다. 

서비스표를 보니 무료 이용자는 이메일을 하루에 10통 밖에 발송하지 못하는 것으로 되어있다. 

아마도 메일을 보낸 해커는 이 사이트의 유료 회원인 것 같다. 

이메일 내부에 링크되어 있는 주소는 https://rplg.co/caharez 로, 파밍사이트의 도메인이 차단되면 다른 곳으로 포워딩하기 위해서 URL 포워딩 서비스로 링크되어 있다. rplg.co 사이트 운영자에게 협조를 얻어서 caharez 의 URL 단축서비스를 이용하는 사람의 IP나 이메일 정보를 얻어내면 범인을 잡을 수 있을 것 같다. 

나 말고도 이 메일을 받은 사람이 많이 있을 것 같고.. 100 명중 한두명만 낚아서 채널을 빼앗아가도 상당한 수익원을 가져갈 수 있을 것 같다. 

우리나라는 이러한 짓을 신고해도 직접적인 피해를 당하지 않으면 경찰도 어쩔 도리가 없으니.. 미국의 FBI 같은 곳에서 잡아다가 족쳤으면 좋겠다. 

현재 포워딩을 시키는 URL과 포워딩되는 URL 등을 구글측에 신고한 상태이다. 

결론 : 로그인을 할 때에는 URL 을 꼭 확인할 것. 

 

---------------------------------------------------------------

Warning 이라는 제목의 메일을 차단했더니 이번에는 구글 애드센스로 위장해서 메일이 왔다. 

형식은 크게 달라지지 않았다. 

이것도 마찬가지로 클릭을 하면 피싱사이트로 이동된다. 

필자의 경우 SMS 인증번호 이외에 추가인증을 하도록 설정하였다. Google 측에서 개발한 USB 키를 컴퓨터에 꽂고, 열쇠 부분을 터치해야 로그인이 되는 방식이다. 

이 USB 가 없으면, 비밀번호가 유출되어도 로그인이 되지 않는다. 

예전에 구글코리아에 방문했을 때 선물로 받은 것인데, 싯가로는 5만원 정도 한다고 했었다. 지금도 구할 수 있는지는 모르겠으나, 이 장치를 등록하여 로그인에 사용하면 비밀번호를 털려도 이 USB 까지 훔쳐가지 않는 이상 로그인을 하기는 쉽지 않을 것이다. 

이러한 피싱에 당하지 않으려면..

1. 로그인을 할 때, 주소창을 확인한 후 아이디와 비밀번호를 입력한다. 

2. 개인만 사용하는 컴퓨터라면 크롬 등에 내장된 자동 로그인 기능을 이용한다. 

3. 아이디와 비밀번호 이외에 SMS 나 OTP 번호를 입력해야 로그인이 되도록 설정을 변경한다. 

4. USB 나 지문인식장치 등을 이용한 추가인증설정이 가능하면, 추가인증을 활용한다. 

5. 유튜브나 중요 사이트의 메일을 받는 계정과, 불특정다수의 메일을 받는 계정을 이원화 한다. 

등의 조치를 취해 놓는 것이 좋을 것 같다.  

반응형
Posted by 블루토파즈