네이버 카페 안전결제 사기

우선 글 작성 전, 본인은 쓰레드라는 어플을 통해 안전결제 사기 URL을 알게 되었고 사기라는걸 인지하고 있었다.

 

사기꾼과의 대화내용

 

사기꾼은 기본적으로 직거래를 안하고 있었고, 인증자체를 꺼려한다.(단, 포토샵해서 인증샷 건네주는 노력파들은 제외)

네이버 블로그 아이디는 카페에서 노출되는 아이디로 블로그에 접속해보려고 했으나 접속 불가했다. 네이버 블로그 아이디 변경은 1회 변경 가능한데, 아마 변경 해버리는듯하다. 해당 카페에서 판매글을 작성하는 모든 사용자들이 다 똑같이 접속 불가했다.

 

이들은 네이버 카페 뿐만 아니라 번개장터에서도 글을 올리는 것으로 보여진다.

 

여기서 더 나아가면 안전결제를 하자고 링크를 던져주는 놈들과(전문적), 계좌이체 해주면 그냥 튀는놈들(그냥 인생 망한 친구들이라 잡히기 쉬움), 요즘 뉴스에 나오던 직거래 3자사기(잘 없음)로 나눌 수 있는 것 같다.

 

내 견해로는 이렇게 안전결제를 위한 도메인(URL)까지 구매해서 안전결제 사기를 치는 놈들은 대부분 한탕 해먹는 놈들이 아닌 전문적으로 해먹는 놈들이다. 네이버 아이디도 구매했을 것이고.. 통장도 보이스피싱이던 대포통장이던 타인 통장으로 사용하는 놈들이 수두룩인 것으로 보인다.

 

내가 당했던 사기는 계좌이체 해줬으나.. 그냥 먹튀당했고 갚아라 연락하면 배고파서 그랬다. 부모님이 아프시다. 교통비가 없어서 그랬다 등등 변명을 대면서 며칠까지 무조건 갚겠다고 하지만 계속 미뤄지고 미뤄지고 무한 반복하며 끝까지 주지 않는 거짓말을 입에 달고 사는 놈들이다. 이런 놈들은 자기 계좌로 사기치니까 잡는 것도 쉽다. 기다리면 언젠가 잡히긴하는데 돈을 돌려받을 수 있다고 확실하게 말은 못하겠다.

 

사기꾼이 보내주는 URL에 접속하면 판매중이던 동일한 상품 화면을 볼 수 있고, 여기서 네이버페이 안전결제 버튼을 클릭하면

 

이런식으로 뜨는데 안전결제를 한번 더 누르면 

 

이와 같은 화면이 보여진다.

 

여기서 배송지를 입력하고 결제하기 버튼을 클릭하면,

 

사기꾼의 서버로 입력했던 정보들이 저장된다. 이때 수집되는 내용들은 피해자가 입력한 이름, 집 주소, 휴대폰번호, 현금영수증 시 휴대폰번호인데, 추가적으로 수집되는게 있다. 보여지는 화면에는 없으나 username, password인데 아이디와 비밀번호를 수집한다.

 

결제하기 버튼을 클릭하면

 

이런식으로 화면에 보여지게 되는데 결제하기 버튼 클릭시 공격자 서버로 알림이 가진 않는다.

 

 

------ 여기서부터는 첫 번째 시도였는데, 주문하기 버튼 클릭하고 안된다고 말하니까 갑자기 사이트가 정상 동작했다.(정상동작한 부분은 윗 부분 참고)

기본적으로 웹 페이지 내에 있는 주석을 통해 해당 사이트는 자동화 툴을 통한 클론(사이트 복제)해서 만들어졌다는걸 유추할 수 있다.

 

그리고 밑으로 내려와보면 og:image라는 meta 태그를 만날 수 있는데, 해당 meta 태그는 네이버 채팅방이나 카카오톡으로 전송했을 때 썸네일(보여지는 이미지) 부분을 해당 값(URL 주소)으로 불러오는 태그다.

 

업로드된 썸네일 이미지의 URL을 보면 어느정도 규칙을 파악할 수 있다. 기본적으로 파일 업로드 공격을 방어하고 이미지 업로드 시 중복된 파일명으로 덮어씌워지지 않기 위해서 만들곤한다.

 

tp.rsrsrs.top/data//xnp/20240617/xnp/img_sp/519022354//20240617174025_519022354_318158307.jpg

위 주소의 뒷쪽을 보면 20240617174025를 확인할 수 있는데, 이를 사람이 보기 편한 숫자로 바꾸면 2024-06-17 17:40:25이다. 이는 사기꾼이 해당 이미지를 업로드한 시간이라 추측할 수 있다. 물론 해당 서버의 시간이 안맞을 수도 있지만, 내가 대화를 걸고나서 몇 분 안지나서 사기꾼이 해당 이미지를 올린거라고 보면 된다.

 

그리고 주문하기 버튼을 클릭하면 사기꾼 서버로 피해자가 주문하기 버튼을 클릭했다고 알림을 전송하게 된다. (아마 공격자는 화면에서 실시간으로 뜰꺼라 예상)

function lh_haobuhao_b(b_gsi, b_yh_username, hbh){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {
			"act" : "haobuhao_b",
			"b_gsi" : b_gsi,
			"b_yh_username" : b_yh_username,
			"hbh" : hbh,
		},
		success : function(data){			
			lh_haobuhao_b_hui(data);
		},
	});
}

function lh_haobuhao_b_cmt(bc_gsi, cmt_hbh){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {			
			"act" : "b_v_cmt_hbh",
			"bc_gsi" : bc_gsi,
			"cmt_hbh" : cmt_hbh,
		},
		success : function(data){
			lh_haobuhao_b_cmt_hui(data);
		},
	});
}





function lh_jc_dzt(sp, dd, yh){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {			
			"act" : "hqzt",
			"sp" : sp,
			"dd" : dd,
			"yh" : yh,
		},
		success : function(data){			
			lh_jc_dzt_hui(data);
		},
	});
}





function lh_haobuhao_sp(hs_sp_gsi, hs_yh_gsi, hs_haobuhao){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {			
			"act" : "sp_v_hbh",
			"hs_sp_gsi" : hs_sp_gsi,
			"hs_yh_gsi" : hs_yh_gsi,
			"hs_haobuhao" : hs_haobuhao,
		},
		success : function(data){
			lh_haobuhao_sp_hui(data);
		},
	});
}

function lh_haobuhao_sp_cmt(hsc_sp_cmt_gsi, hsc_yh_gsi, hsc_haobuhao){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {			
			"act" : "sp_v_cmt_hbh",
			"hsc_sp_cmt_gsi" : hsc_sp_cmt_gsi,
			"hsc_yh_gsi" : hsc_yh_gsi,
			"hsc_haobuhao" : hsc_haobuhao,
		},
		success : function(data){
			lh_haobuhao_sp_cmt_hui(data);
		},
	});
}

function lh_shouchang_b(b_gsi){
	$.ajax({
		type : "POST",
		url : "./fhz_cla.php",
		dataType : "json",
		data : {
			"act" : "shouchang_b",
			"b_gsi" : b_gsi,
		},
		success : function(data){			
			lh_shouchang_b_hui(data);
		},
	});
}

 

이 외에도 사기꾼이 설정한 다양한 정보들을 수집한다. 변수들이 의미없는 문자열들로 구성되어 있어 파악이 불가능하지만 기본적으로 act라는 문자열로 구분을 하고 있고(아마 act는 행동으로 파악) 피해자가 어떤 행위를 할 때마다 수집한다. 그게 입력하고 있는 비밀번호일지 아이디일지는 아무도 모르지만 이걸 관리하는 관리자페이지에서는 명확히 어떤 내용인지 보일 것 같다.

 

알림이 전송된 후에는 서버로부터 데이터를 받아서 피해자의 화면에 보여주게 되는데 서버에서 데이터를 받질 못해서 분석 종료 ㅠㅠ

 

$(function(){
	//console.log("");
	$(".btn_pp").on("click", function(){
		//console.log($(this).attr("title"));
		lh_jc_dzt('536310683', '', '519022354');
	})
})


function lh_jc_dzt_hui(data){
	//console.log(data);
	$(".lhnr_huanqian_jine").text(accounting.formatMoney(data["dzt"]["dd_huanqian_jine"],"",0));
	$(".lhnr_zt2").text(data["dzt"]["dd_wc_ddly_1"]);
	$(".lhnr_zt3").text(data["dzt"]["dd_wc_ddly_2"]);
	$(".lhnr_zt4").text(data["dzt"]["dd_wc_ddly_3"]);
	$(".lhnr_zt5").text(data["dzt"]["dd_wc_ddly_4"]);
	$(".lhnr_zt6").text(data["dzt"]["dd_wc_ddly_5"]);
	$(".lhnr_zt7").text(data["dzt"]["dd_wc_ddly_6"]);
	
	if(data["dzt"]["dd_zhuangtai"]=="1"){
		$(".pp_01").show();	$(".pp_01").css("opacity","1");
		$("#dd_zhuangtai").val("2");		
	}
	if(data["dzt"]["dd_zhuangtai"]=="2"){
		$(".pp_02").show();	$(".pp_02").css("opacity","1");
		$("#dd_zhuangtai").val("3"); // 바꿀필요업다
	}
	if(data["dzt"]["dd_zhuangtai"]=="3"){
		$(".pp_03").show();	$(".pp_03").css("opacity","1");
		$("#dd_zhuangtai").val("4");
	}
	if(data["dzt"]["dd_zhuangtai"]=="4"){
		$(".pp_04").show();	$(".pp_04").css("opacity","1");
		$("#dd_zhuangtai").val("5"); // 바꿀필요업다
	}
	if(data["dzt"]["dd_zhuangtai"]=="5"){
		$(".pp_05").show();	$(".pp_05").css("opacity","1");
		$("#dd_zhuangtai").val("6"); // 
	}
	if(data["dzt"]["dd_zhuangtai"]=="6"){
		$(".pp_06").show();	$(".pp_06").css("opacity","1");
		$("#dd_zhuangtai").val("7"); // 바꿀필요업다
	}
	if(data["dzt"]["dd_zhuangtai"]=="7"){
		$(".pp_07").show();	$(".pp_07").css("opacity","1");
		$("#dd_zhuangtai").val("8"); // 바꿀필요업다
	}
	/*if($(this).attr("title")=="1"){
		$(".pp_01").show();	$(".pp_01").css("opacity","1");
		$("#dd_zhuangtai").val("2");
	}
	if($(this).attr("title")=="2"){			
		$(".pp_02").show();	$(".pp_02").css("opacity","1");
		$("#dd_zhuangtai").val("3"); // 바꿀필요업다
	}
	if($(this).attr("title")=="3"){			
		$(".pp_03").show();	$(".pp_03").css("opacity","1");
		$("#dd_zhuangtai").val("4");
	}
	if($(this).attr("title")=="4"){			
		$(".pp_04").show();	$(".pp_04").css("opacity","1");
		$("#dd_zhuangtai").val("5"); // 바꿀필요업다
	}
	if($(this).attr("title")=="5"){			
		$(".pp_05").show();	$(".pp_05").css("opacity","1");
		$("#dd_zhuangtai").val("6"); // 
	}
	if($(this).attr("title")=="6"){			
		$(".pp_06").show();	$(".pp_06").css("opacity","1");
		$("#dd_zhuangtai").val("7"); // 바꿀필요업다
	}
	if($(this).attr("title")=="7"){			
		$(".pp_07").show();	$(".pp_07").css("opacity","1");
		$("#dd_zhuangtai").val("8"); // 바꿀필요업다
	}*/
}

$(function(){
	var fznr_1 = new Clipboard(".btn_xuanzewenzi1", {text:function(){ return $(".xuanzewenzi1").html();}});
	var fznr_2 = new Clipboard(".btn_xuanzewenzi2", {text:function(){ return $(".xuanzewenzi2").html();}});
	var fznr_3 = new Clipboard(".btn_xuanzewenzi3", {text:function(){ return $(".xuanzewenzi3").html();}});
})

 

아마 예상하기로는 공격자 서버로부터 계좌번호(Clipboard 함수를 이용해 복사를 하는것으로 보아 계좌번호로 예상됨)와 네이버 로그인, 상품 거래 템플릿과 같은 등등의 정보를 받아서 피해자 화면에 보여주는듯싶다.

 

아무튼.. 이런 피해를 막기 위해서 직거래를 피하는 사람, 인증을 피하는 사람, 안전 결제하자면서 URL을 주는 사람을 피하자.

 

참고로 여기저기서 초록색 자물쇠가 안전하다라고 하는데, 이 초록색 자물쇠로 불리우는 SSL은 공격자도 무료로 발급할 수 있으니, URL이 naver.com이거나 *.naver.com인 경우에만 신뢰하도록 하자.

 

 

 

후속 이야기는 다음 링크에서 보실 수 있습니다.

https://nopsled.tistory.com/309

네이버 카페 안전결제 사기 후속편