최근 들어 피싱 문자가 눈에 띄게 증가하고 있다.
하루에 약 5번 정도의 광고성 전화가 오고 있고, 피싱 문자 또한 2건 이상은 받는 것 같다.
이러한 상황에 환멸이 나고 있던 중 한 문자를 받았다.
전자금융 거래법을 위반 했으니 링크를 따라 사건 조회를 하라고 한다.
검찰을 사칭한 뻔한 수법의 보이스피싱 문자이다.
평소 같았으면 그냥 넘어갔을 문자이지만 이날은 왠지 모르게 더 화가 났다.
더 이상의 피해자가 나오지 않길 바라는 마음에, 일단 사건조회에 적힌 피싱 링크로 접속하였다.
피싱 링크는 대개 악성코드 등을 포함하고 있기에, 애초에 접속 자체를 하지 않는 것이 좋다.
본인은 보안을 위하여 윈도우가 아닌 리눅스에 Firefox 브라우저를 설치하고 IP 를 변경한 뒤에 접속을 시도하였다.
검찰(?) 홈페이지가 나를 맞아 주었다.
검찰 사이트를 들어가 본적이 처음이라 실제와 얼마나 비슷한지는 모르겠지만 부주의하게 보면 속기 쉬울 것 같아보였다.
보이스피싱범들은 뻔뻔하게도 자신들의 검찰 사칭 사이트에 "보이스 피싱 '자수' 및 '제보'전화" 라는 문구를 대문짝만하게 걸어놓았다. (본인들이 먼저 자수하길 바란다...)
아마도 이 피싱문자를 제보하더라도 큰 소용이 없을 것이라는 확신이 있었을 것이다.
주소창에는 피싱 링크의 IP가 적혀있었고 이를 활용하여 위치를 추적해보았다.
홍콩의 한 지역으로 나온다. 요즘은 피싱범들이 홍콩에서도 활동하는 모양이다.
좀더 자세한 정보를 알기 위해 해당 아이피에서 열려있는 포트를 nmap으로 확인하였다.
$ sudo apt-get update
$ sudo apt-get install nmap
$ nmap $IP
열려있는 포트는 총 3개 80, 3389, 8080 이다.
80 포트는 방금 보았던 검찰 사칭사이트이고,
8080포트는 http-proxy로 자신들의 IP를 숨기거나 트래픽을 필터링 하는 등의 기능을 하는 것으로 보인다.
매우 흥미롭게도 3389 포트는 윈도우의 원격 데스크톱 연결(RDP)에 사용되는 포트이다.
즉, 이 아이피와 포트를 통해 원격 데스크탑 연결에 시도할 수 있고, 로그인 아이디와 비밀번호까지 알 수 있다면 당장 계정 탈취까지 가능하다는 소리다.
실제로 3389포트를 열어두면 전세계의 다양한 트래픽이 로그인 시도를 한다.
따라서, 이 글을 보는 사람들은 반드시 해당 포트를 닫고 다니길 추천한다.
몇 번의 연결 시도에도 불구하고 로그인은 불가능하였다.
원격 연결 프로그램에서도 로그인 비밀번호가 틀렸다는 내용만 반복될 뿐 큰 수확은 없었다.
몇 분을 고민하다가, 리눅스 명령어를 통해 원격 데스크탑 연결을 시도하였다.
$ sudo apt-get install rdesktop
$ rdesktop $IP -u $ID -p $PASSWORD -g 1000x1000
재미있게도 홍콩의 보이스피싱 서버 화면을 그대로 송출 받을 수 있었다.
그나저나 홍콩에서 사용하는 윈도우 로그인용 배경 화면들은 한국과 사뭇 달라서 신기했다.
물론 Linux를 통한 원격 연결에서도 계정의 이름과 비밀번호를 알아야 접속이 가능하다.
그러나 한가지 다른 사실이 있었으니...
그건 바로 화면 오른쪽 아래에 전원 버튼이 있다는 것이다.
반신반의하며, 전원 아이콘을 누르고 시스템 종료를 클릭하였다.
클릭과 동시에 원격 연결 접속은 끊겼고 다시 피싱 링크로 접속을 시도하였다.
방금 전 검찰 사칭 사이트로 통했던 링크는 이제 접속이 불가능 해졌다. ㅎㅎ
로그인까지 성공했다면 좀 더 재미있는 짓(?)을 했겠지만 이정도로 만족한다.
이 방법을 통해 피싱 문자에 당하는 피해자가 조금이나마 줄어들기를 바란다.
'아무도 안궁금해할 일상' 카테고리의 다른 글
| 진로 (0) | 2021.07.29 |
|---|---|
| 비교하는 삶 (0) | 2021.01.05 |