사진도용 및 채팅환전사기 로맨스 스캠 분석

오랜만에 일도 끝났겠다. 유튜브를 틀었는데, 그것이 알고싶다(링크)를 했다.

컴퓨터에 관련되면 또 못참치...

 

본인도 코인 투자로 인해 잃고 잃었었는데 투자해서 잃은거라 마음이 아파도 내가 잘못한 선택이니 어쩔 수 없다는 마인드였다. 그런데, 자의적 판단이 아닌 사진도용으로 인해 환전사기를 당했다는게 중요한 것 같다.

 

과거에 메이플도 사기당하면 손이 덜덜덜 떨렸었는데, 평생 내가 먹고 싶은거 못 먹고 입고 싶은거 못 입어가면서 모았던 자금이 한순간에 멍청한 실수로 인해 돈을 날렸다고 생각하면 정말 억장이 와르르다... (당하신 분들에게는 애도를 표한다...)

 

https://blog.naver.com/lovesomuch123/222378489176

viptalk188.com 채팅환전사기 사이트

 

https://www.instagram.com/noting373/

우선 피해 글을 여러 포털들을 통해 알 수 있었고, 적게는 50, 많게는 1000 단위로 피해자들이 상당히 많이 존재했다.

 

그것이 알고싶다에서 방영한 스캠 채팅 사이트는 조금의 검색을 통해서 알게됐고, 이를 토대로 찾아보려고 한다.

 

좌측부터 chat*****.com, simy***.com

오늘 분석할 서버 두 대의 서버는 US와 Canada 두 곳에 존재한다. (나머지는 이와 비슷하기 때문에 분석에서 제외)

 

환전사기 사이트 기술 스택

두 개의 사이트는 같은 솔루션을 사용하고 있으며 하나의 솔루션을 제작해서 각기 다른 서버에 설치하여 운영 중이다.

 

 

기술 스택은 프론트엔드에서 메인 페이지에 환전신청리스트에서 스르륵 올라가는 효과를 주기 위해 swiper slider 라이브러리를 사용했으며, UI에서는 Bootstrap을 사용했고 Apache Tomcat을 사용하고 있다. Apache Tomcat? 그 말은 결국 백엔드는 Java를 사용하고 있단 것으로 생각하면 된다.

 

페이지 소스코드 중 환전신청리스트 부분

환전신청리스트는 정적 텍스트(Static Text)로 박혀 있으며(이미 애초에 화면을 구성하는 html 파일을 만들때 사람이 수동으로 기입해서 넣었다는 뜻), 화면과 소스코드 내 텍스트가 매핑되는 걸 볼 수 있다.

 

 

날짜 변경 코드

페이지에 처음 접속하면 nowTime class를 가진 element를 모두 변경한다. 환전신청리스트 코드를 보면 2021-07-19라고 되어 있는걸 볼 수 있는데, 이 부분을 오늘 날짜로 바꾼다. (즉, 2022-04-15처럼 바꿈)

 

여기서 추측해보건데 2021-07-19는 아마 사이트를 만들었을 때의 날짜(html 작성할 때의 날짜)가 아닐까 추측해본다.

 

로그인 요청 코드

 

우선 회원가입할 때 임의로 회원가입 하지 못하게 추천인 코드를 받고 있었고. 현재로써 추천인 코드는 알아낼 방법이 없었으므로 로그인 페이지를 확인해 봐야했다.

 

그 중 로그인 요청 코드를 보면 로그인 요청 후 서버에서 결과 값을 받아와 code를 확인하는데, code가 1인 경우 아이디, 비밀번호가 틀린 걸로 간주한다. code가 2인 경우 계정이 동결 되었다는 메시지가 있는데 이는 아마 차단으로 추측된다. code가 나머지의 경우 에러가 난것으로 추측해볼 수 있다.

 

그리고 계정이 차단되는 경우, "차단"이라고 하지 "동결"이라는 단어는 잘 안쓰기 때문에 사이트 제작자가 한국인은 아닌거 같고, 클라이언트 소스코드를 보면 대부분의 코드 주석이 중국어로 되어 있다. 그래서 추측해보건데 중국쪽에서 베이스 코드를 짜고 유지보수는 한국인이 한 것처럼 보여진다.

 

아무튼 여기서 중요한건 code가 0일때 sessionStorage에 imgUrl(아마 프로필 사진으로 추측), 가입된 user 정보, baseInfo(웹 페이지에 보여지는 제목, 송금정보 등)를 저장한다.

 * 이 코드를 보고 생각나는건 서버측에서 세션 검증을 따로 하지 않는다는 것을 유추해볼 수 있었고 약간의 실험을 통해 로그인아닌 로그인을 할 수 있었다.

 

** 동결이란 단어는 아마도 하단의 이미지에서 계정을 차단할 때 frozen이라는 status를 사용하여 0인 경우 로그인 가능, 1인 경우 로그인 불가능으로 나타내는 것 같으며 이를 한국어로 번역하면 frozen -> 동결이 된다. (2022-04-16 추가)

*** Value에는 0과 1로 사용하는 것으로 보아 DB에서 true, false와 같이 Boolean 사용이 불가능(MongoDB에서는 documentDB이기 때문에 Boolean형 표현이 가능). jdbc 드라이버 사용해서 mysql 연결하고 있는 것으로 보여지며 Java 스택이면 대부분 jdbc mysql을 사용 함(2022-04-16 추가)

 

서버에서 response를 받아온 화면

주기적으로 읽지 않은 메시지를 서버로 부터 받아오는데, 서버측에서 보내주는 msg value에 중국어가 담겨있는 걸 확인할 수 있었고, 이는 번역하면 성공적인 작업이였다. 그리고 해당 API를 통해서 테스트 계정을 제외하고 4~50개 정도 가입되어 있는 상황(중복 계정 포함)이었다.

 

그리고, 비밀번호는 양심껏 MD5로 암호화 같지 않은 암호화를 해주더라.. (MD5는 단방향 암호화기 때문에 123123으로 했다면 무조건 뚫린다고 봐야하며, 만약 본인 비밀번호를 넣었더라면 크랙하는데 한 달 안에는 가능하다고 봐야한다.)

 

 

관리자에게 자신이 보낸 사진을 다시 보내는 것으로 추측되는 코드

사진을 보낸 후에는 관리자에게 똑같이 이미지를 전달하는 코드로 추측한다.

채팅을 위한 WebSocket은 서버가 죽어 있었으므로 재현이 불가능했다. 또한, jqaction.html 파일이 없기 때문에 실제 동작은 볼 수 없는 상황이였다. jqaction.html이 없다는 건 관리를 안하고 있다는 뜻이고, 해당 사이트가 버려졌을 수도 있거나 관리자용 URL이나 서버가 따로 있을 수도 있다.

 

그리고 범죄 조직은 있습니다. 를 잇습니다.로 대부분 사용하는 편이고, 확실하진 않지만 중국쪽 범죄조직 같다.

utils.js 소스코드

로맨스 스캠 사이트 utils.js 파일의 소스코드 주석으로 구글링을 해봤는데, 우측 소스코드와 비슷해서 넣어봤다.

 

물론, 해당 작성자가 답변으로 달아놓았을 뿐더러 범죄 조직이 해당 게시글을 보고 해당 코드를 작성했을 수도 있고. 이 작성자가 범죄조직에 연루되었을 가능성은 추측일 뿐이다.

 

관리자 페이지

범죄 조직은 따로 관리자페이지를 구성해서 사용중이고, uimaker.com 에서 관리자용 템플릿(추측 링크) 구매하여 커스텀하여 사용중인 것으로 보여진다.

 

그리고 추가로 검색하다가 알게됐는데, 해당 조직은 사이트 이름만 바꿔서 여러가지 도메인으로 운영중이다.

 

chat*****.com

simy***.com

simya****.com

worldwi****.com

bam****.com

등등등..

저 각각의 도메인들에서 회원가입된 계정 중 공통적으로. 그리고 자주 등장하는 동필, 필동, coda147, coda258, coda777, coda666은 제작자가 흘린 단서일까?

 

환전 관련 대화 내용

그리고 마음 아프지만 누군가가 4월 13일날 대화한 내용인데, 안당했었으면 좋겠다...

 

이들을 잡기 위해서는 현실적으론 거의 불가능하다고 봐야겠지만, 그냥 시나리오(소설)를 써보겠다.

 

1) 검·경은 각 서버 위치를 확인하고 압수수색 실시

 - 압수수색 후 서버 로그 확인(또는 역해킹해서 서버 로그 확인)

 - 서버 로그엔 분명히 관리자 IP가 남아있으니, 그걸 대상으로 조사해야 함.

2) 대부분 고객센터 -> 카카오톡 대화로 넘어감.

 - 카카오톡 아이디를 대상으로 메시지 발신자 IP 확인 필요.

 - 고객센터가 말이 고객센터지. 여러 명의 대화가 오기도 하고 사이트에서 각각의 회원들을 관리하기가 어려움.

  => 따라서 고객센터에서 카카오톡 아이디를 보내준 후 카카오톡 PC 버전에서 대화하기 위해서 카톡으로 넘어감.

3) 소개팅 어플에 가입하면서 핸드폰 인증을 해야할텐데, 이를 통해 역추적

 - 대부분 대포폰을 사용했겠지만, 대포폰 만든이도 꼭 잡아야한다 생각함.

4) 계좌 송금 후 인출책이 인출하는 것을 막기 위해 계좌 정지가 선행되어야 함.

 - 인출하더라도 여러 방법을 통해서 인출한 위치나 인출한 사람을 대상으로 검거해야 함.

5) 속출하는 피해자를 막기 위해 환전 관련 소개팅 도메인은 정부에서 warning.or.kr로 넘겨서 사이트 접속 못하게 원천 차단해야 함. (야동 사이트는 잘 막으면서..)

 

이 조직이나 다른 범죄조직이 더 보여지면 추가로 글을 쓰도록 하겠다.