유효한 SSL 인증서를 사용한 일본 Amazon 피싱 사이트가 확인되어 분석해보도록 하겠습니다.
페이지 접속 시 https://amazon-email[.]live/pc/ 의 주소로 연결됩니다.
Domain Name: amazon-email[.]live
Registry Domain ID: a4ba1ce0e00b4a5da042858ba3542817-DONUTS
Registrar WHOIS Server: www.namesilo.com/whois.php
Registrar URL: http://www.namesilo.com
Updated Date: 2020-10-09T08:00:42Z
Creation Date: 2020-10-09T07:46:33Z
Registry Expiry Date: 2021-10-09T07:46:33Z
Registrar: NameSilo, LLCWHOIS 조회 시 위와 같은 정보가 확인되며 최근에 등록된 도메인이라는 것을 확인할 수 있습니다.
HTTP 연결 혹은 주로 Let's Encrypt의 SSL인증서를 사용하던 기존 피싱 사이트와는 달리 이 피싱 사이트에서는 중국의 TrustAsia Technologies, Inc. 에서 발급한 SSL인증서를 사용하고 있습니다.
해당 사이트는 SSL인증서가 적용되어 있어, 좌물쇠 마크가 노출되고 있는데 이를 통해 외형적으로는 안전한 사이트로 보여질 수 있습니다. 하지만 이는 HTTPS 연결을 통하여 정보가 안전하게 전달되는 것을 의미하지, 해당 사이트의 안전성에 대해 보증하는 것이 아니므로 주의하셔야 합니다.
로그인 화면을 통해 ID/PW를 입력한 후에는 청구지 주소 업데이트를 요구하며 추가적인 정보 탈취를 시도하고 있습니다.
최종적으로 정보 탈취가 완료되면 정상적인 Amazon Japan 사이트로 리다이렉트 되어 의심을 피하고 있습니다.
사용자의 입력을 통해 탈취되는 정보는 다음과 같습니다.
Amazon 계정
청구지 주소
신용카드 정보
이메일 계정
현재는 Google Safe Browsing에 의해 접속 전 경고창이 표시되나, 실제 사이트로 접속이 이루어지고 있으며 입력된 정보를 통해 재산상의 피해를 야기할 것으로 보여집니다. 그러므로 계정 정보 등을 요구하는 사이트에 접속하였을 경우, 피싱 사이트인지 공식 사이트인지 여부를 꼭 확인하시어, 피싱 피해를 입지 않도록 주의하시기 바랍니다. :)
'Security > 스미싱,피싱' 카테고리의 다른 글
| 국내 오픈마켓에 등록된 계좌 송금 유도 사기 주의 (0) | 2020.08.15 |
|---|---|
| 택배 스미싱 및 Apple ID 탈취 주의 (0) | 2019.09.10 |
| Facebook방문자 추적기로 위장한 페이스북 액세스 토큰 탈취 주의 (0) | 2017.10.16 |
| 사회공학적 기법이 적용된 페이스북 토큰털이 주의 (1) | 2017.09.05 |
| 20170423피싱사이트 (0) | 2017.04.23 |
