1.
1
PAGE
Fraud Must End
네이버 피싱조직 추적기
Presented by Hyunjun Park @ NAVER Security

2.
2
PAGE
- 10+ yeasrs in security
- DEFCON 27 DEMO LABS SPEAKER (2019)
- Security Researcher @ NAVER Security
E-mail : june.park@navercorp.com
Hyunjun Park
About Me

3.
3
PAGE
Real
vs
Fake
What do you think is real?

4.
4
PAGE
https://nid.naver.com https://naverpay.cafe123.com
←Real
Fake→

5.
5
PAGE
How Phishing Group Work?
피싱 그룹은 탐지 회피를 위해 사이트를 유동적으로 생성/운영하고 있으며,
사용자의 계정 및 금전 탈취를 주 목적으로 활동중
2. 피싱용 물건 등록
1. 피싱 사이트 준비
4. 계정 탈취
3. 피싱사이트 유도 5.금전 탈취
$$

6.
6
PAGE
Case 1 : By (Hacked) Seller
Case 2 : NAVER Cafe (Joongonara)
Case 3 : Other Platform
Case Study
NAVER Phishing

7.
7
PAGE
1. 판매자 계정 해킹 후 상세 페이지 변경
- 피싱 조직이 오픈마켓 판매자 계정을 해킹
- 탈취한 계정으로 판매중인 물품의 상세 페이지를 변조
- 정상 결제가 아닌 카카오톡으로 문의 유도
2. 카톡 문의 유도 후 피싱페이지 전달
- 카톡 문의시, 판매 수수료를 핑계로
[네이버 안심거래]를 제안
- 제안 수락시 네이버 피싱 페이지 전달
- 피싱 페이지에 계정 입력 후 결제 금액 송금
(계정 탈취 + 금전 탈취)
Case 1. By (Hacked) Sellers

8.
8
PAGE
오픈마켓
- 수십~수백개 물품을 등록한 판매자의 경우
해킹에 의한 상세페이지 변조 사실을 알기 어려움
- 카카오톡 메신저를 통한 피싱은 1:1 성격상
탐지 및 대응이 어려움
Case 1. By (Hacked) Sellers
오픈마켓 판매자 계정을 해킹하여 상세페이지 내용을 변조 후 피싱사이트로 유도
[ 판매자 계정 해킹 후 변조된 상품 상세페이지 ]

9.
9
PAGE
Case 1. By (Hacked) Sellers
피싱 그룹은 카카오톡 (가짜 계정)을 통해 네이버 피싱 링크를 전달하고 계정 및 금전 탈취를 유도함
네이버 URL과 유사한(?) 형태의
가짜 URL 전달 (중고나라 링크)
피싱링크 전달 (메신저)
가짜 네이버 로그인 페이지에
ID/PW 입력
네이버 계정 탈취
주소 + 전화번호 입력 후
지정 계좌로 송금 유도
송금유도 (대포통장)
$$
2 3
4
1

10.
10
PAGE
1. 중고나라 카페 허위매물 등록
- 네이버 해킹 ID를 이용해 허위매물 등록
- 공개 연락처 없음. 사기 카카오톡 채팅 유도 or
"구매 문의 채팅"을 통해 피싱 유도
2. 가짜 안전거래 (피싱페이지) 유도
- 채팅을 통해 중고 물품 거래를 위한 안전거래 제안
- 외부 안전거래 (피싱페이지) URL 전달
※ 네이버는 카페내에서만 안전결제 사용 가능
(외부링크 결제는 불가)
Case 2. NAVER Cafe : Joonggonara

11.
11
PAGE
해킹한 네이버 계정을 이용해 허위매물 등록 후 피싱페이지 유도
주소 + 전화번호 입력 후
지정 계좌로 송금 유도
송금유도 (대포통장)
$$
가짜 네이버 로그인 페이지에
ID/PW 입력
네이버 계정 탈취
Case 2. NAVER Cafe : Joonggonara
인기 중고매물을 싼 가격에
등록 후 카카오톡 유도
허위매물 등록
네이버 URL과 유사한(?) 형태의
가짜 URL 전달 (중고나라 링크)
피싱링크 전달 (메신저)
2 3
4
1

12.
12
PAGE
1. 이메일을 통한 피싱 사기
- 중고 거래 과정에서 이메일 주소를 요구
- 이메일 주소로 네이버 안전결제 (피싱 사이트) 링크 전달
2. 타사 모바일 앱을 이용한 피싱 사기
- 타사 중고거래 앱에서 네이버 피싱으로 유도하는 사례
- 앞서 소개한 사례와 유사하나 카카오톡 대신 중고거래 앱
자체 채팅 기능을 통해 피싱 유도
Case 3. Other Platform

13.
13
PAGE
사기 수법의 특징

14.
14
PAGE
가짜 카카오톡 계정 사용
안전거래(?) 등록
친근한 프로필 사용 But...
해외 임시인증번호 또는 대포폰을
이용해 생성한 가짜 계정 사용
중고나라 물품은 외부링크 결제가
불가능한 구조 (카페 내에서만 가능)
OO맘, OO아빠 등 친근한 이름과
(도용한) 가족 사진을 프로필에 등록.
프로필 싱단에 선물,송금 아이콘 없음
카카오톡 가짜 계정 구분하기

15.
15
PAGE
ㆍ피싱 사이트 유도를 위한 허위매물은 주로 도용(해킹)된 계정으로 등록됨
ㆍ일부 회원의 경우 도용 사실을 모른채 중고물품 사기에 본인 계정이 사용됨
ㆍ피싱을 통해 획득한 계정을 다시 허위매물 등록에 악용
도용 계정을 사기에 악용
[ 중고나라 카페 - 본인 계정이 해킹당해서 허위물품이 등록된 사례 ]

16.
16
PAGE
Tracking Phishing Group
NAVER Phishing

17.
17
PAGE
수백개 이상의 피싱용 도메인을 사용하고 있으며,
피싱 활동중에만 운영하므로 분석 및 차단이 어려움
치고 빠지는 형태의 피싱 사이트 운영
피싱과정에서 획득한 회원 계정을 도용하여
허위매물 등록 등 악의적 목적으로 재활용
탈취계정의 재활용
싱가폴, 중국 내 클라우드 서버를 주로 사용하므로
추적을 위한 협조가 어려움
해외 소재 클라우드 서버 이용
피해자를 끌어들이기 위한 방법을 계속해서 개발중
중고나라 뿐만 아니라 타 플랫폼(당근마켓 등) 확장
피싱 방식의 진화

18.
18
PAGE
Tracking process
도메인 분석
카페 모니터링 피싱 URL 수집
데이터 정리
위협 정보 수집 대응

19.
19
PAGE
ㆍ특정 조건으로 가입한 의심 회원 모니터링
ㆍ카톡 거래유도, 텍스트가 포함된 물건 이미지 등록시 의심
ㆍ인기 있는 상품이 너무 싼가격으로 등록된 경우 의심
의심 회원 모니터링
ㆍ사기꾼 관련 피해사례 공유 게시판 모니터링
ㆍ카페 + 국내 다수 커뮤니티 게시글 모니터링
사기 후기(?) 모니터링
카페 모니터링

20.
20
PAGE
카카오톡ID 컨택
피싱URL 수집
이걸 왜 일일이 수동으로...?
ㆍ중고나라 매물 중 연락처 없이 카카오톡 연락처만 남긴 사람에게 컨택
ㆍ대부분 한국 IP로 카카오 '글로벌 시그널' 기능을 회피
ㆍ거래의사를 표시하면 안전거래로 유도하며 피싱사이트 전달
ㆍ피싱 URL 주소형태로 볼 때 3~4개 이상의 조직 활동중으로 파악
ㆍ피싱 링크는 항상 유효하지 않음. (치고 빠지기)
ㆍ클라우드 API를 이용해 사기 행각을 벌일때마다 새끼 도메인을 생성하고
사기 이후에 도메인 Disable
피싱URL 수집

21.
21
PAGE
ㆍ중국 베이징 내 알리바바 클라우드 서버 사용
ㆍCNAME : me.sysah.net
ㆍO 개의 피싱조직 IP 추출
클라우드 기반 서버
도메인 분석
ㆍ해당 IP를 이용해 등록되었던 도메인명을 추적
(2017 ~ 2020, 4년간)
Reverse IP를 이용한 도메인 추적

22.
22
PAGE
400+ Domains
Reverse IP를 통해 400개 이상 피싱용 도메인 추출
네이버 유사(?) 도메인 사용
네이버뿐만 아니라...옥션, 지마켓, 번개장터 등
cafe-naver01.com
cafe-naver07.com
cafe-naver10.com
cafe-naver21.com
cafe-naver39.com
cafe-naver44.com
cafe-naver56.com
cafe-naver60.com
cafe-naver71.com
cafe-naver77.com
cafe-naver89.com
npage-naver634.com
npage-naver64.com
npage-naver65.com
npage-naver66.com
npage-naver67.com
npage-naver671.com
npage-naver68.com
npage-naver69.com
npage-naver70.com
npage-naver71.com
npage-naver72.com

23.
23
PAGE
공개 정보 + 기관 + 기업 협조를 통해
피싱관련 데이터 추가 수집
Threat Intelligence

24.
24
PAGE
대응 : in scope
피싱 도메인
대응 : out of scope
카카오톡 계정
대응 : in scope
피싱 피해계정
400+ 50+ 3000+
데이터 정리

25.
25
PAGE
Google Safe Browsing + 네이버 피싱 탐지 알고리즘을 통해 피싱 사이트 차단
확보된 피싱 도메인을 WSB 에 업데이트
대응 : Whale Safe Browsing

26.
26
PAGE
ㆍ중고나라 카페 모니터링 + 어뷰징, 의심 로그인 계정
ㆍ도용 의심계정, 피싱 피해 계정에 대한 보호조치
피싱 피해 예상계정에 대한 보호조치
대응 : 회원 보호조치

27.
27
PAGE
Lessons Learned
NAVER Phishing

28.
28
PAGE
① Teamwork is the key
보안팀 혼자서는 피싱피해를
막는데 한계가 있습니다.
각 서비스 담당자와의 협업을 통해
정보를 빠르게 공유하고
피싱 차단 전략을 수립하는것이
중요합니다.
서비스 담당자와의
협업이 중요

29.
29
PAGE
① Teamwork is the key
ㆍ피싱 조직 관련 위협정보 수집
ㆍ피싱 피해 계정 수집
Threat Intelligence
ㆍ카페, 메일 등 서비스로 부터 피싱 데이터 수집
ㆍ피싱 피해 회원에 대한 신속한 보호조치 실시
NAVER Services
ㆍ피싱 조직 분석
ㆍ대응 전략 수립
NAVER Security
02
01
03
네이버 서비스 팀과의 협업 + 외부 위협정보 수집 활동을 통해
신속하고 정확한 피싱 대응이 가능

30.
30
PAGE
② Focusing on what we can do
피싱 대응은 신속성이 가장
중요합니다.
즉, 통제 밖의 요소를
해결하는데 시간을 낭비할 수
없습니다.
현재 네이버가 가진 역량과 자산을
활용하면 피해를 막을 수 있습니다.
할 수 있는것에 집중

31.
31
PAGE
피싱 사기과정에서의 단계별 연결고리를 끊어내자
What we do for user protection
NAVER Phishing

32.
32
PAGE
네이버 피싱 데이터 통합 수집
피싱 사이트 위험도 분석
CT 실시간 모니터링
네이버 서비스 내 피싱으로 의심되는 URL에 대한 통합 DB 구축
Whale Safe Browsing과 연계
도메인 네임, 사이트 스크린샷 분석을 통해 피싱 유사도 및 위험도 분석
HTTPS 적용된 피싱사이트에 대한 등록 실시간 모니터링
NAVER Anti Phishing System

33.
33
PAGE
네이버 피싱 탐지 알고리즘 + 한국형(?) Safe Browsing DB 구축
네이버 피싱사이트에 대해 구글 크롬 대비 4배 더 탐지, 차단 (20년 10월~11월 데이터 기준)
Whale Safe Browsing
[ 동일 피싱 사이트 접속시 크롬(미차단) 과 웨일(차단성공) 비교 ]

34.
34
PAGE
CT(Certificate Transparency) Monitoring
피싱 조직이 네이버 피싱사이트 제작 후 HTTPS 인증서 등록시
해당 도메인을 실시간으로 탐지 가능
Ref. : https://www.certificate-transparency.org

35.
35
PAGE
ㆍ1개 카카오톡 계정은 N개의 네이버 계정과 연결
ㆍ도용의심 회원계정에 대한 분석 및 보호조치 실시
카카오톡 거래 유도 게시글 모니터링
중고나라 사기모니터링

36.
36
PAGE
③ But...
타 플랫폼에서 발생하는 피싱은
우리가 적극적으로 대응 불가
결국, 국민의 피해를 줄이기 위해선
피싱과 관련된 모든 주체가
적극적인 공조를 통해 해결해야
합니다.
대응의 한계

37.
37
PAGE
매년 반복되는 피싱 사기와 고도화되는 수법에 대응하기 위해
NAVER Security 팀은 계속해서 아이디어를 생각하고 있습니다.
피싱사기가 뿌리뽑히는 그 날까지
네이버 회원 보호를 위해 최선을 다하겠습니다.
Fraud must end

38.
38
PAGE
Thank You!
Presented by Hyunjun Park @ NAVER Security