본문 바로가기

한메일(다음) 비밀번호 탈취를 위한 피싱메일, 이번엔 정말 당할 뻔 했다

728x90
반응형

나는 한메일(다음)을 주로 사용한다.
그래서 보안 관리를 제법 꼼꼼하게 하는 편인데 이번엔 정말 당할 뻔 했다.

며칠 전에 비밀번호가 유출 됐으니 변경하는 메일이 왔다.
나는 작업 중에 항상 한메일이 로그인 된 상태라 바로 내정보로 들어가 비밀번호를 변경 했다.
그런데 오늘 또 비밀번호를 변경하라는 메일이 왔다.




처음엔 이런 메일이 왔다.



비밀번호를 변경했는데 오늘 이런 메일이 또 왔다.
뭔가 이상하다.


<메일 내용>

메일 내용을 보면 영락없이 다음 고객센터에서 보낸 메일이 맞다.
사실 처음에 비밀번호 유출 메일을 받고 의심을 했던 건, 로그인을 해외에서 했다는 것이다.
그런데 나는 이미 몇 년 전부터 해외 로그인을 모두 막아놓은 상태였다.

<링크 된 페이지로 접속한 화면>

의심이 든 상태에서 [비밀번호 변경 바로가기] 파란 버튼을 클릭했다.
이런 화면이 보인다. 뭔가 많이 허접하다.
그런데 사실 나도 홈페이지를 만들 때 비밀번호 변경같은 페이지는 이렇게 단순하게 만들기 때문에 별 의심 없이 비밀번호를 입력하는 순간, 문제점을 발견했다.
새 비밀번호를 입력하고 비밀번호 확인하는 칸이 보이지 않는다.
새 비밀번호를 입력하고 비밀번호를 확인을 한 번 더 하는 건 불문률이다.
그래서 새 창을 열어 다시 다음(daum.net)으로 접속해 로그인 기록을 보니 해외 로그인 정보가 없다.

페이지는 다음 메일과 비슷하지만 링크 주소를 보니 다음이 아니다.
비밀번호를 캐취하기 위한 피싱 사이트였던 것이다.
지금까지 수 백 개의 사이트를 만들면서 몸이 기억하고 있는 본능력으로 의심을 하지 않았다면 나는 영락없이 비밀번호를 털렸을 것이다.

<소스코드 일부>

그런데 피싱 사이트를 보면 "확인" 또는 "입력" 버튼이 없다.
사기꾼들이 비용들여가면서 쓸데 없는 노력을 했을리 없고 소소코드를 열어봤다.
역시나 거기엔 꼼수가 숨어있었다.
확인이나 입력 버튼이 없어도 비밀번호를 입력하고 Enter 키를 누르면 자동으로 프로세스 호출이 비동기로 호출되는 함수가 숨어있다.

사기꾼들 역시 꼼꼼하다.

발신자가 다음 고객센터 메일 주소와 똑같고 별다른 경고 메시지가 없어서 의심않고 열어 봤다가 낭패를 볼 뻔 했다.

만약 다음이든 네이버든 비밀번호가 유출 됐다는 메일을 받았다면 일단 의심을 하고, 개인정보 수정을 링크로 들어가지 말고 무조건 새창을 열어서 직접 접속해서 수정해야 할 것이다.

728x90
반응형