카카오 로그인화면으로 위장한 웹페이지
Contents
ASEC 분석팀은 최근 카카오의 로그인 페이지를 위장하여 특정인의 계정정보를 취하려는 정황을 확인하였다. 사용자가 해당 페이지에 최초 접속하게 되는 정확한 유입경로는 확인되지 않았으나, 피싱메일을 통해 접속하게 되는 페이지에서 웹 로그인을 유도하였을 것으로 추정된다.
웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이 가능한 카카오 로그인페이지의 정상포맷(그림 2)과 동일하게 제작되었다.
ASEC 분석팀에서 지속적으로 대북관련 모니터링을 해온 것을 토대로, 이러한 정상포맷의 특징을 통해 해당 ID가 ‘kakao.com’ 혹은 ‘hanmail.net’ 메일계정에 사용되었을 가능성을 고려해보면 자동입력 되어있는 ID와 유관한 무역/언론/대북관련 인물과 기관을 타겟으로 삼았을 것으로 추정된다.
로그인 화면에서 자동완성 되어있는 일부 계정들에 대해 추정하는 정보는 다음과 같다.
- a***d : 대학 교수
- ya***2 : 방송국 기자
- sh***her : 대북사업 지원단체
아래의 그림 4와 같이 로그인 페이지의 URL주소도 accountskakao로 시작하기 때문에, 웹페이지에 접속하게 되는 사용자는 무심코 비밀번호를 입력할 가능성이 농후하다.
- (정상) : https://accounts.kakao.com
- (악성) : hxxp://accountskakao.pnbbio[.]com , hxxp://accountskakao.koreawus[.]com
특히, 확보한 로그인 페이지 중 일부 URL은 일정 기간을 두고 사용자의 ID를 변경하여 로그인을 유도하는 정황이 …
웹페이지에 접속하면 아래의 그림 1)과 같이 카카오 계정의 ID가 자동완성 되어있다. 카카오메일이 있을 경우 메일 아이디만 입력하면 로그인이 가능한 카카오 로그인페이지의 정상포맷(그림 2)과 동일하게 제작되었다.
ASEC 분석팀에서 지속적으로 대북관련 모니터링을 해온 것을 토대로, 이러한 정상포맷의 특징을 통해 해당 ID가 ‘kakao.com’ 혹은 ‘hanmail.net’ 메일계정에 사용되었을 가능성을 고려해보면 자동입력 되어있는 ID와 유관한 무역/언론/대북관련 인물과 기관을 타겟으로 삼았을 것으로 추정된다.
로그인 화면에서 자동완성 되어있는 일부 계정들에 대해 추정하는 정보는 다음과 같다.
- a***d : 대학 교수
- ya***2 : 방송국 기자
- sh***her : 대북사업 지원단체
아래의 그림 4와 같이 로그인 페이지의 URL주소도 accountskakao로 시작하기 때문에, 웹페이지에 접속하게 되는 사용자는 무심코 비밀번호를 입력할 가능성이 농후하다.
- (정상) : https://accounts.kakao.com
- (악성) : hxxp://accountskakao.pnbbio[.]com , hxxp://accountskakao.koreawus[.]com
특히, 확보한 로그인 페이지 중 일부 URL은 일정 기간을 두고 사용자의 ID를 변경하여 로그인을 유도하는 정황이 …
IoC
http://accountskakao.pnbbio.com
http://accountskakao.koreawus.com
http://accountskakao.koreawus.com