2012. 3. 20.

가짜 KB국민은행 피싱사이트 http://kbmbcnk.net 주의!

나른한 주말 아침, 동생의 문자메시지에 잠에서 깼습니다.

2012-03-17_09-47-07

http://kbmbcnk.net 란 주소를 들이밀며 보안승급을 하라고 왔다는데, KB국민은행이면 저도 자주 이용하기 때문에 단번에 도메인이 이상함을 알 수 있었습니다. 정상적인 KB국민은행의 웹사이트는 kbstar.com 도메인을 쓰기 때문입니다.

게다가 직접적인 은행 계정과 관련된 중요한 보안 공지를 고작 문자 하나로 안내하고 끝? 누가 봐도 피싱사이트란 느낌이 강하게 들었습니다. 그래서 일단 컴퓨터를 켜고 어떻게 되먹은 곳인지 살펴보기로 했습니다.

악성코드나 트로이목마, 해킹 등의 가능성도 있어 IE가 아닌 크롬 웹브라우저를 이용했습니다.

 

피싱사이트 살펴보기

snap_0632

꽤 그럴싸한 웹페이지가 뜹니다. 하지만 약간의 세심함이 부족했네요. 스크린샷에는 보이지 않지만, KB국민은행의 로고가 새겨진 favicon이 보이질 않았습니다. 즉 원래대로라면

snap_0636

요렇게 네모난 아이콘이 보여야 하지요. 하지만 피싱사이트에서 나타난 것은 그냥 크롬의 기본 파비콘. 이미 낚시는 물 건너 갔네요. 게다가 메인메뉴도 죄다 텍스트로 되어있습니다. 정상 사이트에선 메뉴 부분이 이미지로 처리되어 있습니다.

 

저 웹페이지의 모든 링크과 버튼들은 눌러도 전혀 작동하지 않습니다. 어떤 버튼을 눌러도 '안전승급 하신 뒤 이용해 주세요' 란 메시지가 뜹니다. 마치 '현재 보안레벨이 낮으니, 레벨을 올린 뒤 클릭하라'고 유도하는 것 같습니다. '보안승급 바로가기' 버튼을 누르면 아래와 같은 화면이 뜹니다. 

snap_0634 

대놓고 이름과 주민번호를 털려고 하는데, 그럴싸한 이유를 댑니다. 주요 포털사이트에서 일어났던 개인정보 유출 사건을 이런 식으로 이용하고 있군요. 다음 페이지엔 또 뭐가 있을까 궁금해서, 제 주민번호 대신 부천시민인 둘리의 주민번호를 넣어보았습니다. 정상적인 주민번호 인증시스템을 갖추고 있다면, 아마 둘리의 주민번호로 접속이 되지 않을 것입니다. 성인인증도 안되는 주민번호인데... (혹시 이런 것도 주민번호 도용에 걸리진 않겠지요?)

아무튼, 확인 버튼을 눌러봅니다. 그러자 나타나는 화면은...

snap_0635 

....................................______....................
............................,.-'''.....................''~.,...............
......................,.-''.................................''-.,...........
...................,∫.............................................";,.......
.................,?................................................'ι.......
................∫..................................................,}.......
...............∫.............................................,;'ª'..).......
..............∫...........................................,;"......∫........
..............?......_.................................;'.........∫.......
.............∫.._,(...."~,_........................,:'........∫.........
............∫.(_...."~,_......"~,_.............,;'........_∫............
...........{..._$;_......"=,_......."·,_....,.··~,),.~"'∫..).........
............((.....*~_......''=·._....";,,,∫'....∫"..........∫..........
_,,,__.ι'~,......''~.,......................)..........∫...........
............(....'=-,,.......·.....................(....;_,,·"............
............/.'~,....'·.............................ι...∫ι................
.............ι'~.*·,.................................I,∫...ι_...........
,,_..........}.³·._ι..............,...................I..........`=~,..
........'=~,_ι_......'ι..............................ι....................
..................'=~,...ι.............................ι...................
.............................';,,.......................'ι............._...
...............................'=·,..............,%'''';...³--==''.......
................................__ι......._.-%...,,,..'ι...................
.............................,³'.._I_,·&''..............'ι..................

접속이... 되네요.
아... 제대로 된 주민번호로 인식함과 동시에, 어쩌면 둘리는 저 피싱사이트의 고객이었을지도 모르겠네요. 더욱 가관인 것은, 화면 아래에 위치한 보안카드 비밀번호 입력창입니다.

snap_0637

정말 배려심이라곤 눈곱만큼도 없는(?) 피싱 사기범들입니다. 아무리 피싱이라지만 35x4= 140개나 되는 보안카드 비밀번호를 일일이 다 쳐서 넣으라니... 그것도 타이핑 하자마자 바로바로 입력되는게 아니라, 마치 실제 은행 사이트에서 키보드 암호화를 진행하듯 약간의 딜레이 효과를 주었습니다.

당연한 얘기지만 보안카드 비밀번호를 이런 식으로 요구하는 곳은 없습니다. 100% 피싱 사기입니다.

 

피싱사이트 알아보는 법 

피싱사기는 교묘합니다. 아무 생각없이 그냥 흘려보면 당하기 딱 좋게 되어있습니다. 하지만 약간의 관심만 기울인다면 이정도의 허접한 피싱사이트는 쉽게 구별해낼 수 있습니다.

  1. 파비콘을 확인합니다. 평소에 접속하던 그 사이트가 맞는지, 앞서 보여드렸던 대로 해당 웹사이트의 파비콘을 확인합니다. 섬세하지 못한(?) 사기꾼들을 걸러낼 수 있습니다.
  2. 도메인을 확인합니다. 대부분의 은행 사이트들은 하나의 도메인을 여러 사이트에서 사용하고 있습니다. bank.kbstar.com, money.kbstar.com, biz.kbstar.com 과 같은 식이지요. 여차하면 직접 도메인 사용자를 검색하는 방법도 있습니다. 한국인터넷진흥원(KISA)에서는 후이즈 사이트를 운영하고 있습니다. http://whois.kisa.or.kr/kor/ 사이트에 접속한 뒤 검색창에 해당 도메인을 넣으면, 누가 그 도메인의 주인인지 알 수 있습니다.

    snap_0648
    ▲ 피싱사이트 도메인을 검색해보면, 의미 없는 글자로 된 사용자 등록정보가 나옵니다.

    가령 위에서 보여드렸던 피싱사이트의 도메인을 WHOIS 검색해보니, 이런 결과가 뜨네요. 정상적인 도메인이라면 회사명과 주소, 연락처, 담당자 이름 등이 표시되어야 할 것입니다.
  3. 실제 사이트와 비교해 봅니다. 포털이나 검색엔진을 통해 해당 웹사이트에 접속한 뒤, 피싱으로 의심되는 사이트와 나란히 놓고 비교해 보세요. 로고나 메뉴 등 약간의 눈썰미만 있다면 쉽게 차이점을 찾아낼 수 있을 겁니다.
  4. 의심되는 도메인을 검색해 봅니다. 의심되는 도메인 주소를 구글이나 네이버 등에 검색해 보세요. 트위터에서 검색하는 것도 좋은 방법이 될 수 있습니다. 다른 사람들이 이 사이트에 대해 뭐라고 하는지 알아본 뒤 접속하세요.

 

심각한 내용들로 포장된 문자나 공지가 왔다고 당황하지 마시고, 침착함을 유지하세요. 조금만 생각해보면 쉽게 피싱사기를 눈치챌 수 있습니다. 또한 피싱사이트를 발견했다면 주변에 널리 알려주세요. 빠른 신고로 피싱사이트 접속을 아예 막는 것도 좋은 방법입니다.

 

덧) 3월 20일 현재 위 피싱사이트의 주소는 차단되어 있습니다(글 쓰는 사이에 차단된 모양이네요). 하지만 똑같은 내용의 피싱사이트를 주소만 바꿔서 계속 돌리는 모양입니다. 언제 또 비슷한 피싱사기가 시작될지 모르니 항상 주의하시기 바랍니다.

댓글 4개:

  1. 개인적으로 국민은행의 고객은 아니지만 좋은 글 잘 읽었습니다.

    답글삭제
  2. 이런...;; 피싱사이트, 악질적이네요.

    답글삭제
  3. http://www.kbdcbank.net/이걸로 또피싱질하네요 신고어디다 하죠??

    답글삭제
    답글
    1. 한국인터넷진흥원 http://www.kisa.or.kr 이나 금융보안연구원 https://www.fsa.or.kr/ 에 신고하면 될 것 같습니다. 아니면 전화 118에 신고하시면 될 것 같아요~

      삭제

- 스팸 방지를 위해 보안문자(캡차) 확인을 사용하고 있습니다.
- 스팸댓글이 너무 많이 달려 댓글 검토 기능을 쓰고 있습니다. 입력하신 댓글이 당장 화면에 나타나지 않아도, 블로그 주인장은 댓글을 보고 있으니 안심하세요. 1~3일 내에 검토가 완료되면 댓글이 게시됩니다.