30분 동안 만든 사기꾼 사이트
30분에 대해서는 현업 개발자가 어떻게 했는지 내가 마지막에 설명하면 다들 고개를 끄덕일 것이다. 오히려 30분이나 걸렸냐고 핀잔을 주겠지. 그러나 탈출구는 있다. OTP 쓰고, 아이디, 비번은 나도 항상 잘 몰라서 요즘 말 만은 크롬이 내 ID/PASSWORD를 제대로 업데이트 안 해줘서 찾는데 오래 걸렸다.
딱 20년이 되었다. 20년 전 학교에서 허브를 promisc mode로 바꾼 후 리눅스 시스템에서 네이버 로긴 아이디와 패스워드를 받아서 컴퓨터 동아리 들어오려는 후배들에게 보여준지 20년이다. 해당 글을 인터넷에 올린 이후 네이버는 로긴을 3단계로 강화했다고 했다. 물론, 단계를 올리니 프로 미스크 모드에서 탐색이 안 되었다. 지금은 그 방어 기법이 ssl로 이관되었고 https 접속만 하면 되는 시대다. 그래서
브라우저에서 자물쇠 마크를 확인
하라고 한다.
와이프가 이런 문자를 받았다고 했다.... 상품이 배송되었습니다. 자세한 내용을 보려면 아래 URL을 클릭하세요. https://tinyurl.com/ybhl3qy5.... 또 물건을 샀냐며... 그렇다. 내가 사이꾼 사이트를 만든 이유는 경각심이다. 앞으로 와이프에게 계정 해킹하는 방법을 보여주고 가르쳐 주며 경각심을 일깨워 줘야 할 것 같다. 그 전에도 휴대폰 대리점에게 100만원 사기를 당했었는데, 집에 같이 사는 사람이 계속 당하고 여러 뉴스를 볼 때 은행도, 정부도, SKT/KT도, 삼성/LG도 책임이 없는 것 같으니 다른 사람들도 보안 이야기를 할 수 있도록 불을 지펴야 겠다.
도메인이 의심스러웠지만 아이폰을 쓰고 웹 호스팅 사업 경험도 있고 브라우저도 빌드해서 쓸 정도의 지식은 있기에 그냥 클릭했다.
한국인이 만든 사이트는 아닌가 보네. 아니면 일부러?
자물쇠 마크가 무슨 소용?
역시 피싱 사이트였다. 네이버는 자물쇠 마크를 확인하라는데 카카오톡에 내장된 브라우저는 자물쇠 아이콘을 보여 주지 않는다. 대기업도 자체 혁신보다는 여러 기업을 흡수하다 보니 서버 도메인을 완전히 하나로 통일하지도 못했기에 자기 사이트만 확인하라고 하지도 못한다. ddns.net 자체는 문제없는 사이트다. 결론은 컴퓨터 잘 모르는 사람은 당하기 일쑤겠다는 생각이 들었다.
동일한 사이트를 30분 만에 만들었다. 베꼈다고 해야 하나?
재미있는 점은 로긴 하고 정말 다시 네이버로 포워딩하기 때문에 진짜 비번을 넣었다면, 그림 맞추기를 한 번 더 할지언정 진짜 네이버로 연결되기 때문에 당한 사람도 바로 내 ID, 비번이 탈취되었다고 알기 힘들다.
그렇게 탈취한 네이버 ID로는 요즘 검색뿐 아니라 쇼핑과 결재도 가능하다.
사기당하고 나면 돈 많고 로또 도박 사이트 운영하는 농협처럼, 본인 탓입니다 라고 한다. 그래도 아무 문제없다. hajunho.com 이란 누가 봐도 사기를 알 수 있는 도메인 주소를 썼지만 계속 썼다 지우는 내 글을 꾸준히 보신 분은 naver.how 도 내가 들고 있다는 것을 아실 것이다. 즉, naver.how에 넣으면 정말 네이버가 되고, 간단히 사주 사이트 하나 만들어서 네이버 로긴과 연동해서 결과 준다고 하면 개인정보 수십만 건은 내 것이 된다. 물론, 여기까지 한번 더 꼬아볼까 생각했지만 대기업에서 형사처벌을 기획했을 때 내가 대처할 수가 없다. 그런데 이런 생각을 해 보니 이런 시리즈를 좀 더 만들어 봐야겠다는 생각이 들었다. 해킹 수법이 워낙 고도로 발전했지만 일반인에게 알려주는 방식으로 나가면 어떨까? 하는 생각.
믓튼, 자물쇠 마크를 확인하는 것은 필요 없고 각자 가능하면 모두가 2차 로긴 서비스인 OTP나 휴대폰 인증을 하라고 말하고 싶다. 물론, 네이버는 아이폰에서 휴대폰 2차 로긴 기능 설정이 잘 안된다. 알림 켜라고 계속 뜰 것이다. 2차 로긴 하면 서버에도 부하가 걸린다. 괜스레 쉬쉬하는 내용을 적은 것 같기도 하지만 내 글을 읽는 분들은 꼭 어떤 방법이던 2차 로긴 설정은 귀찮아도 하는 편이 좋다고 말하고 싶다. 열심히 모아 돈 수천만 원 이상이 갑자기 빠져나가게 하지 않으려면 말이다.
이 글을 요악하면,
페이 정보가 있거나 자주 쓰는 사이트 비밀번호는 다른 사이트와 다르게 하고, 2차 인증 기능은 필수!
VPN 사용하지 않는다면, 되도록 해외 IP 로그인 차단 기능 넣기!
정도가 되겠다.
30분 만에 만드는 방법. 크롬 플러그인 user-agent를 모바일로 바꾼다. 모바일로 접속해서 사이트를 다른 이름으로 저장한다. 깨진 참조 링크를 복구한다. 완성된 소스를 본인의 사이트로 올린다. 끝.
난 원래 hajunho.com 이 있고, ssl 적용이 되어 있으며 자바 스크립트 지원이 되도록 해 놓았었다. 아마 웹 개발자는 30분 언더로 끊을 것이고 다른 개발자라면 클라우드 이용하면 한 시간이 걸릴 것 같고, 따로 서버 세팅하면 두어 시간 걸릴 것 같다.
역시... 개발보다 글 쓰는 게 더 힘들다. 혼자 생각하는게 아니라 다른 사람 생각은 어떨른지 계속 필터링을 해야 한다. 크게 신경 쓰지 않는다고 스스로 생각하는데 그것도 아닌 것 같다. 뇌 온도가 올라가는 것이 느껴지기 때문이다. 사기꾼 관련 글을 시리즈로 쓰다보니 피싱 사이트라 안하고 사기꾼 사이트라고 제목을 달게 되었다.
