[펌] 스마트폰 스미싱 구조 살펴보기 / 고객님 택배 문제가 발생하였습니다 / 문자 사기 방법 / 스미싱이 오는 이유 / 스미싱 문자 누르면? / 스미싱 문자 과정 / 스미싱 사례
[펌] 스미싱 구조 살펴보기 :: 스미싱 문자를 누르면 어떻게 될까
안녕 개드리퍼들.
조금전에 날라온 문자를 보고 정보를 공유하면 좋을 것 같아서 공유하려고 글을 쓰게 되었어.
문제의 문자는 아래의 내용으로 날라왔어.
처음엔 어? 내가 주문한게 있었나? 하는 생각이 들었는데 수상한 링크를 보고 스미싱임을 직감하게 되었지.
그래서 이 사이트가 어떤 구조로 되어있나 PC로 접속해서 살펴보러 갔어.
그런데 대한통운 공식홈페이지로 연결되는거야.
모바일을 구분해서 리다이렉트를 시키나 보다 하고 느낌이 딱 와서 agent 를 바꿔서 다시 접속을 해보았어.
왼쪽이 스미싱 사이트고 오른쪽이 원래 사이트야.
운송장 번호 입력하는 곳에 핸드폰 번호를 받도록 변경해 놓았어.
소스를 살짝 살펴보았는데 원래 모바일 사이트 소스를 어느정도 고대로 배껴왔더라고.
일단 바꾼 소스에선 접속한 기기가 안드로이드인지 체크하고 아니면 정식 대한통운 사이트로 이동하도록 해놓았어.
그리고 입력한 정보는 dor000ft.php 라는 파일로 정보가 보내지도록 되어 있어.
요즘엔 다들 스미싱을 의심해서 아무정보나 입력해 보려고 하니까
이제는 1대1로 마크를 해서 그 주소로 연결된 사람 핸드폰 번호가 아니면 에러가 나오도록 만들어 놓았어.
여기서는 검증을 위해 내 핸드폰번호를 입력했어.
위에 언제 어디서나 아이콘은 정부 사이트에서 본 듯한데 정확히 어딘지 모르겠다.
여튼 원하는 핸드폰 번호를 입력해주면 이페이지로 이동되고 내핸드폰번호가 파일명인 apk 파일을 받게 되지.
아무것도 모르는 사람들은 apk를 깔면서 개인정보를 탈탈 털리게 되는 거야.
pc에선 백신이 스미싱을 감지하고 apk 파일을 지워버려서 백신을 끄고 받았어.
이제 마지막으로 apk 파일을 간단히 살펴보고 글을 마칠게.
일단 내 정보를 어디로 보내는지 봐야겠지?
소스를 살펴보면 URL = "http://113.10.136.103/" 이라는 정보를 찾아낼 수 있어.
아이피 정보를 찾아보면 우리가 익히 예상한 곳에 위치하고 있다는걸 알 수 있지.
뭘 가져가나 하고 살펴보면..
첫째로 내 번호 정보
소스를 살펴보면 index.php?type=join&telnum=&telcompany= 이라는 부분이 있는데
내 핸드폰정보랑 통신사 정보를 저쪽에 보내면서 유저 등록을 시키는걸로 시작해.
저 구문이 doRegisterUser() 함수에 들어있으니까 이 시점부터 내 정보가 털린다고 봐야겠지.
두번째로 주소록 정보를 가져가
주소록 정보를 뽑아서 앱내의 db로 저장시키고 주소록이 추가될때마다 db를 업데이트하고 그 정보를 서버로 보내.
db정보는 주기적으로 서버로 보내지지.
세번째로 GPS 정보를 가져가.
강제로 GPS를 켠 뒤에 위도, 경도, 정확도를 구해서 서버로 보내. 무서운 놈들이 아닐 수 없지.
네번째는 추측인데 내 핸드폰 내의 동영상을 가져가는 것 같아.
아래가 파일 전송 소스 부분인데 3GP 라는 타입이 모바일 촬영 동영상 타입이거든.
좀 더 살펴보면 어딘가에서 하고 있을 것 같지만 귀찮아서 생략할게.
이외에도 자기들 번호가 차단되었는지 확인하고 전화 걸어보는 테스트 기능이랑
문자 송수신 체크해서 차단되었으면 서버에 차단되었다고 메모를 보내는 등 아주 단단히 무장되어 있어.
이렇듯 한번 이라도 실수로 깔면 모든걸 탈탈 털리게 되니 주변에 잘 모르는 분들에게 얘기해 두면 좋을것 같아.
읽어줘서 고마워~~
-----------------------------------------------------------------------
-3줄요약-
1. 요즘 스미싱은 1대1로 마크업을 한다.
2. 앱을 설치하는 순간 알몸이 된다.
3. 잘 모르는 사람들에게 경각심을 갖게 해주자.
출처 : [정보] 요즘 스미싱 구조 살펴보기 ( http://www.dogdrip.net/72680671 )