superroot's life hack

넷플릭스에서 "스마트폰을 떨어뜨렸을 뿐인데"를 보고 많이 놀란 사람들도 있습니다. "에이~~ 너무 현실성 떨어지는 스토리 아냐?" 하며 잠이 왔다는 사람들도 있습니다. 그런데 저는 해커는 아니지만 모의 해킹을 좋아하고 공부하는 사람의 입장에서 어느 정도 공감도 가고 Social Engineering 관점에서 진짜 가능할 것 같다는 입장입니다. 내용이 너무 방대해질 것 같기 때문에 정보 수집 단계에 대해서만 언급해 보겠습니다. 해커 입장에서 본 "스마트폰을 떨어뜨렸을 뿐인데" "스마트폰을 떨어뜨렸을 뿐인데"라는 일본 원작을 리메이크 한 넷플릭스 영화입니다. 일본 영화에서는 한국 감성과 달라서 이질감이 많이 느껴졌었는데 한국 버전이라서 그런지 원작을 뛰어넘는 느낌이었습니다. 해커의 입장에서 각각 언급을 할 ..

법원송달 피싱 수법 / 신규 피싱 수법 안내 2023년 1월 초 LG 유플러스에서 고객 18만 명의 개인정보가 유출되었습니다. 이름, 생년월일, 주소, 전화번호, 이메일, 웹 아이디 등 매우 민감한 정보들이 유출되었습니다. 이러한 시기에 신규 피싱이 유행하고 있어 알려드리고자 합니다. 유출된 db가 피싱범들의 손에 넘어가게 되면 악용될 소지가 있습니다. 미리미리 대비하셔야겠죠? 가족, 친구, 부모님 등에게 미리 이러한 수법이 유행한다고 알려드리는 것이 좋을 것 같습니다. 신규 피싱은 "법원송달 도착 안내서" 피싱 수법입니다. 기존 전화로 검찰, 수사관 등을 사칭하는 수법이 진화한 것인데요 실제 거주자 이름을 "법원송달 도착 안내서(위조문서)"에 명시하여 집에 붙여두는 수법입니다. 놀란 거주자가 사기꾼에게..

인증번호 알려주고 욕 문자 및 전화 수신 / 인증번호 도용 사례 네이버 지식인에 "인증번호 알려주고 모르는 사람들로부터 욕 문자가 계속 온다" 또는 "스팸 문자 그만 보내~ 사기꾼아!"이런 문자가 너무 많이 온다는 질문이 심심찮게 올라옵니다. 누군가는 이벤트 상품을 받기 위해 또 누군가는 돈을 준다고 해서 인증번호를 알려주고 사기꾼들에게 당하게 됩니다. 사기꾼들이 어떻게 인증번호를 사용해서 스팸문자를 발송하는지 살펴보도록 하겠습니다. 인증번호는 온라인에게 신분증 대신 본인인증 수단으로 사용될 수 있으며 계정의 비밀 번호 찾기 수단으로도 사용될 수 있습니다. 따라서 절대로 타인에게 제공해서는 안 됩니다. 명심하세요~ 인증번호 및 인증번호 도용 과정 예시 사기꾼이 기프티콘을 보내주겠다며 휴대폰으로 발송된 인..

너 같아 피싱 수법(facebook phishing 사례) "너같아 6ta~"로 시작하는 피싱 수법이 유행이라 글을 올립니다. 이런 메시지는 주로 친구나 지인이 메시지와 함께 피싱링크를 보내기 때문에 쉽게 해킹을 당할 수 있습니다. 뒤늦게 해킹을 인지한 지인이 "나! 해킹당했어~"이런 문자로 뒷북을 치곤 합니다. 피싱 링크 위, 아래 이미지의 차이점이 뭔지 알 수 있겠습니까? 아래에 있는 이미지는 피싱 링크를 누르면 나오게 되는 피싱 사이트입니다. facebook 로긴 page를 그대로 복사하여 정상적인 facebook 로그인창으로 보이게 됩니다. facebook logo위에 보시면 6ta로 시작하는 이상한 URL이 보이시죠? 특히 모바일 화면에서는 이 URL이 잘 안 보이는 경우가 많아서 컴퓨터 보다 ..

제 3자 마케팅 동의 악용 의심 사례 - 보험 고객 서비스 센터 사칭 몇 달 전, 010으로 시작되는 모르는 전화가 하나 걸려왔습니다. "XXX 고객님 맞으시죠? 안녕하세요! XX 생명 고객 관리 센터 XXX입니다. 가입하신 XX 보험 잘 유지되고 있으시고요~ 어쩌고저쩌고 블라블라, 이 전화번호는 고객 관리 센터 전용번호이니 수신 차단이 되지 않도록 잘 저장해 주세요~. 본인 확인을 위해 고객님 주소가 XX 시, XX 아파트, 뒤에는 어떻게 되시죠?" 여기까지 전화를 듣다가 "아.... 제가 확인하고 다시 통화하시죠! 하고 전화를 끊어버렸습니다." 무슨 이야기를 하는지 가만히 듣고 있어 보니, 제가 가입한 XX 보험 이름도 알고 있고 아파트 이름도 알고 있었습니다. 진짜 보험회사 인가? 나에 대한 정보를..

로맨스 스캠 사례 모음 (스캠 주의보) 인스타 친구(인친), 페이스북 친구(페친)가 해외여행 중에 자신의 계좌가 동결되어 어려움에 처했다는 이야기를 하며 이름, 전화번호 등을 물어보며 은행에 도움을 요청합니다. 과연 그 은행이 진짜 은행일까요? 제 경우에는 이란 게스트 하우스 주인으로부터 해외여행 중에 지갑을 도난당한 상황이라며 긴급하게 돈을 좀 빌려줄 수 있는지 물어보는 이메일이 온 적 있습니다. 이란 게스트 하우스 주인은 한국인인데, 이메일은 영어로 왔다는 것이 좀 이상했습니다. 해외 출장 중에 항상 방문하는 게스트하우스 그리고 친분이 있는 게스트하우스 주인이라 진짜 도와주고 싶은 마음이 있어서, 게스트하우스에서 관리하는 블로그에 글을 남겼더니 사기라고 바로 댓글을 남겨주시더군요. ㅎㅎ 아찔한 상황이..

모르는 "이메일 인증" 메일은 뭐지? (비밀번호 찾기 기능 악용 수법) 6월 말에 Facebook에서 2건의 모르는 이메일 인증 요청 메일, 그리고 지난주 Instagram에서 2건의 모르는 이메일 인증 요청 메일이 각각 도착했습니다. 스팸메일인가 의심이 되어 Facebook에서 보낸 최근 이메일 보기, Instagram에서 보낸 이메일 메뉴를 통해서 확인을 해보니 진짜 Facebook과 Instagram에서 보낸 메일이 맞더군요. 각각 2번씩 메일이 발송되었습니다. 어떤 경우에 이런 "이메일 인증" 메일이 도착하는지 살펴보고 위험성에 대해서도 살펴보도록 하겠습니다. 사이트 가입시 E-mail 주소 오타 가능성 Facebook, Instagram과 같은 사이트에 가입하는 단계에서 E-mail 주소로 인증..

검사사칭 보이스피싱 수법 (Android 해킹 위험 - 현금, 가상화폐 탈취) 보이스피싱 수법이 날로 정교해지고 있습니다. 특히 검사를 사칭하는 수법이 10년이 넘도록 이어지고 있는데요 약간 허술하지만 그럴듯한 공문양식, 카카오톡에 검찰청 사진을 도용하는 등 주의를 기울이지 않으면 이런 수법에 누구나 당할 수 있습니다. 많은 사람들이 검찰이 보내는 공문은 우편으로 온다고 이미 알고 계시지만, 그럴듯한 거짓말(코로나 시국에 비대면 조사 등)과 공문 내용을 흉내 낸 pdf 내용을 보고 진짜 속을 수 있습니다. 전화 내용이 보이스 피싱이라는 사실을 간파한 사람들도 보이스 피싱범들이 카카오톡이나 문자로 보내오는 pdf를 호기심에 확인할 수 있는데요. 이 pdf 문서가 악성 pdf라면 직접적인 휴대폰 해킹이 될 ..

페북 기프티콘 나눔 사기 수법 (카톡 계정 및 SNS 계정 탈취 수법) 요즘 facebook, instagram, twitter와 같은 SNS에서 "댓글로 '손' 먼저 하는 12명만 드려요"라는 피싱이 자주 보입니다. 치킨, 요기요, 파리바게트 등 다양한 기프트카드, 기프티콘(약 3만 원 정도)을 "손" 먼저 하는 사람에게 준다니... 댓글에 나도 "손"이라고 달아보지 뭐, 나한테 손해가 생기겠어? 하는 맘으로 댓글을 남겼다가 카카오톡 및 SNS 계정까지 탈취당하는 사례가 증가하고 있습니다. 그 수법에 대해서 알아보겠습니다. 기프티콘 나눔 사기 수법 사람들이 좋아할 만한 기프티콘으로 꾸며진 글에 댓글로 "손"을 적어달라고 합니다. 사기꾼들이 "선착순 이벤트 참여 감사합니다! 오늘 x 번째 당첨자시넹요!"..

링크 누르면 해킹? (Hooked Browser) Discord Gift 링크를 클릭하고 해킹을 당했다는 사람들이 많습니다. 링크를 누르면 기기가 전체 해킹되나요? 이런 질문을 하는 사람들도 많습니다. 주로 이런 수법은 Browser Exploitation Framework에서 생성된 javascript를 이용한 browser hooking입니다. 즉, 링크를 클릭한다고 기기 전체가 해킹되는 것이 아닌 활성된 브라우저 탭에서 javascript로 인해 특정 작업이 가능한 상태가 되는 것입니다. 해커는 피해자의 브라우저에 facebook, twitter, discord와 같은 피싱 로그인 창을 원격으로 띄울 수 있으며 추가적으로 업데이트 피싱 메시지를 보내 악성 앱을 설치하도록 유도할 수 있습니다. 피싱 ..

이벤트 당첨 문자 스미싱 및 금융기관 사칭 스미싱 (스미싱 주의 2탄) 사람을 방심하게 만드는 이벤트 당첨 문자, 혹 할 만한 상품권, 애플워치 등 이벤트에 당첨되었다며 수령하기 위해서는 바로 가기 단축 URL을 눌러서 안내에 따르라는 내용이죠. 이런 이벤트 당첨 스미싱에 많은 학생들이 실제로 계정을 탈취당하는 등 피해를 보고 있습니다. 단축 URL을 눌렀을 때 최종적으로 연결되는 URL은 링크만 보고서는 확인하기 어렵습니다. 그래서 해커가 만들어둔 크리덴셜 탈취 URL에 연결될 수 있고, 악성 앱 다운로드 링크로 연결될 수도 있습니다. 이벤트 당첨 문자 (스미싱 사례) 이런 스미싱 문자의 패턴은 [국제 발신] 표시와 bit.ly 처럼 단축 URL을 사용한다는 것입니다. 국제전화 006으로 시작하는 문자..

인스타 및 블로그 협찬 피싱 사기 피해 주의 "협찬 물품 수령하시고 직접 촬영하신 사진과 후기 글 포스팅하시면 됩니다."로 시작하는 피싱 문자, 수익형 블로그와 인스타그램을 관리하다 보면 한 번쯤 받아볼 수 있는 피싱 DM 또는 피싱 문자입니다. 문자의 내용중에서 가장 위험한 부분이 숨어있는데요 바로 "당부서에서 홍보자분의 카카오톡을 직접 로그인하여 본사와 연동 후 결제 링크에서 담당코드를 통해 물품 비용을 처리하고 본사 승인과 전자계약을 이룹니다." 이 부분입니다. 그럼 이 피싱 문자 때문에 제 블로그에 방문하셨다면 먼저 보낸 사람 차단 먼저 하세요. 인스타 협찬 사기 문자 샘플 협찬 홍보 감사비용 30만원에 마스크, 그리고 물품, 배송 비용은 전액 본사 부담이라며 나에게도 이런 협찬이 들어오나? 하며..