유효한 SSL 인증서를 사용하는 Amazon피싱 사이트 주의

유효한 SSL 인증서를 사용한 일본 Amazon 피싱 사이트가 확인되어 분석해보도록 하겠습니다.

메인 화면

페이지 접속 시 https://amazon-email[.]live/pc/ 의 주소로 연결됩니다.

Domain Name: amazon-email[.]live
Registry Domain ID: a4ba1ce0e00b4a5da042858ba3542817-DONUTS
Registrar WHOIS Server: www.namesilo.com/whois.php
Registrar URL: http://www.namesilo.com
Updated Date: 2020-10-09T08:00:42Z
Creation Date: 2020-10-09T07:46:33Z
Registry Expiry Date: 2021-10-09T07:46:33Z
Registrar: NameSilo, LLC

WHOIS 조회 시 위와 같은 정보가 확인되며 최근에 등록된 도메인이라는 것을 확인할 수 있습니다.

HTTP 연결 혹은 주로 Let's Encrypt의 SSL인증서를 사용하던 기존 피싱 사이트와는 달리 이 피싱 사이트에서는 중국의 TrustAsia Technologies, Inc. 에서 발급한 SSL인증서를 사용하고 있습니다.

 

좌: 상하이 소재의 TrustAsia社 우: SSL마크

해당 사이트는 SSL인증서가 적용되어 있어, 좌물쇠 마크가 노출되고 있는데 이를 통해 외형적으로는 안전한 사이트로 보여질 수 있습니다. 하지만 이는 HTTPS 연결을 통하여 정보가 안전하게 전달되는 것을 의미하지, 해당 사이트의 안전성에 대해 보증하는 것이 아니므로 주의하셔야 합니다.

ID/PW탈취

로그인 화면을 통해 ID/PW를 입력한 후에는 청구지 주소 업데이트를 요구하며 추가적인 정보 탈취를 시도하고 있습니다.

최종적으로 정보 탈취가 완료되면 정상적인 Amazon Japan 사이트로 리다이렉트 되어 의심을 피하고 있습니다.

사용자의 입력을 통해 탈취되는 정보는 다음과 같습니다.

Amazon 계정
청구지 주소
신용카드 정보
이메일 계정

 

 

현재는 Google Safe Browsing에 의해 접속 전 경고창이 표시되나, 실제 사이트로 접속이 이루어지고 있으며 입력된 정보를 통해 재산상의 피해를 야기할 것으로 보여집니다. 그러므로 계정 정보 등을 요구하는 사이트에 접속하였을 경우, 피싱 사이트인지 공식 사이트인지 여부를 꼭 확인하시어, 피싱 피해를 입지 않도록 주의하시기 바랍니다. :)