IP 추적을 통한 해킹메일 (비밀번호 탈취형) 분석

IP 추적을 통한 해킹메일 (비밀번호 탈취형) 분석

필자가 근무하는 기관에 해킹메일이 또 유입되었다. 헐....내용을 살펴보니 비밀번호를 입력하게 하여 계정을 터는 방식이라는 것을 분석하였다. 우선 메일 담당자에게 이 사실을 알리고 이 해킹 메일을 받은 직원들에게 빨리 사실을 공유하여 피해가 확산되는 것을 막아내는 것이 가장 급선무다. 

우선적으로 조치는 빨리 되었다. 휴....살았다. 필자가 백업해둔 메일을 네이버로 모아두었다. 필자는 교육을 위해서 이런 해킹메일들을 수집을 한다.  절대로 나쁜 용도로 사용하는 것은 아니니 오해하시지 마시라. 

우선 메일을 한번 살펴보자. 초보자분들은 그냥 읽어보지 말고 즉시 삭제하시는 것을 추천합니다.

이런 해킹메일이 날아왔다.

우선 내용을 읽어보면 저장가능한 스토리지의 공간부족을 경고하는 메일이다. 밑에는 용량이 부족해서 새로운 메일을 받을 수 없으니 하단부 Clear Cache를 눌러서 새로운 메일을 받을 수 있도록 공간을 확보하라는 것으로 보인다.

가짜라는게 딱 보인다. ㅋ..그래도 필자는 속아주겠다. Clear Cache를 눌러보자.

이런 가짜 페이지가 열려진다.

이런 허접한 페이지가....ㅠㅠ 위의 URL을 살펴보자.

이건 무슨 URL ???

이 사이트를 nslookup을 통해서 IP를 살펴보자. 도데체 어떤놈이 이런 것을 보냈는지 국가까지는 파악이 가능하다.

명령프롬프트를 실행해서 nslookup을 실행하자.

거기에 다시 위 domain을 입력하면 된다.

이렇게 가짜페이지를 유도하는 IP가 나온다.

위 Domain이나 보낸 놈이나 동일인일 확률이 매우 높다. 그래서 위 IP를 가지고 있는 놈이 이 사이트를 운영하는 범인이라고 보시면 되겠다. 위 IP를 우리나라 Kren 사이트에 넣어보자.

https://whois.nic.or.kr

KISA 후이즈검색 whois.kisa.or.kr

우리나라의 한국인터넷진흥원의 사이트가 열린다. 여기에 IP를 넣어보자.

이렇게 우리나라 IP가 아님을 알수 있다.

이렇게 우리나라 IP가 아님을 대번에 알수가 있는데 외국에서 왜 내 Web메일 용량에 관심을 가질까? 절대 그럴일이 없다. 그냥 내 계정을 털고 싶어서 하는 나쁜짓에 불과하다.

밑에 자세히 보면 해당 IP대역은 아시아태평양지역 후이즈 서비스라고 문구가 나온다.

이렇게 보면 동남아쪽에서 보낸거라고 유추가 가능하다.

동남아에서 보낸게 확실하다. 그렇다면 동남아 whois로 이동해보자.

https://wq.apnic.net/apnic-bin/whois.pl

APNIC - Query the APNIC Whois Database

이렇게 동남아 whois로 가서....해당 IP를 다시 입력해보자.

동남아 whois에서 이 놈을 추적해봤다

Country에서 SG라고 나온다. SG는 싱가폴을 가르키는 말이다.

구글에서 Country SG라고 검색해보자.

이렇게 싱가폴이라는 것을 증명했다.

우선 이 해킹메일을 보낸 놈이 싱가폴이라고 증명이 되었다. 그런데, 싱가폴하고는 우리나라하고는 크게 악연은 없는거 같고 싱가폴내에도 중국인들이 상당히 많다. 필자 생각에는 싱가폴내에 있는 중국인들이 보낸것 같다. 확실하지는 않지만 그럴 확률이 아주 높다고 생각한다. 이렇게 어느 국가에서 보낼지 모르니 해킹메일은 조심 또 조심하는 것이 정답이다.

출처가 불분명하거나 이상한 내용이라고 생각하면 정말정말 궁금하다면 네트워크, 서버, 보안 관리자에게 문의하고 해당 메일을 열어보는 현명한 판단이라고 생각한다. 

상세한 내용은 필자가 제작한 유튜브 영상으로 봐주셨으면 한다. 피해가 발생하지 않기를 하는 바램이다.

제발 좀 속지말자.

https://www.youtube.com/watch?v=MvU9xlixydA