차단된 지역에서 로그인이 시도되었습니다 - 네이버 사칭 피싱 메일 주의! (nid.naver.com.pl)

 

안녕하세요, 자투리입니다.

네이버 메일로 '차단된 지역에서 로그인이 시도되었습니다'라는 알림메일이 오는 걸 보신분이 계실텐데요.
해당 메일이 네이버에서 정상적으로 발송한 알림이라면 다행이지만, 해당 메일을 도용하는 피싱 메일이 있어, 이에 대해 알아보려고 합니다.

피싱으로 오게되는 메일은 아래와 같은데요,

네이버에서 보낸 메일 같아 보이지만, 잘 보면...
보냄놈 주소가 nids@help'naver.com 로 좀 이상함을 알 수 있습니다. 

 

해당 메일내용에는 비밀번호변경, 로그인기록보기 등 몇 개의 링크가 보이는데,
이 중 <로그인기록보기>을 눌러보면, 아래와 같이 다시 재로그인 하라고 페이지가 나오게 되는데요... (일단 결론부터 얘기하면, 여기서 재로그인 하면 절대 안됨!!)

이게 그냥 보안상 다시 로그인하라고 하나보다라고 보면 문제가 없는거 같긴하나...
아래와 같은 실제 네이버의 로그인 페이지와 비교해서 보면 먼가 다름을 알 수 있습니다.

 

---

위의 2개 로그인페이지 이미지에서 뭐가 다른지 보이시나요?^^
다른점은 아래와 같습니다.

1. 피싱페이지는 네이버 주소에 pl이 붙어 있습니다.

2. 정상페이지는 초록색버튼에 '로그인'이라고 적혀있고, 피싱페이지는 초록색버튼이 '확인'이라고 적혀있습니다.

 

3. 해당 초록색버튼에 마우스를 올리면, 이미지와 같이 좌측 하단에 경로가 나오는데, 역시 피싱페이지는 pl이 붙어 있고, 그 뒤의 경로도 nidloginlogin로 나오는데, 정상페이지의 경로는 마침표가 있는 nidlogin.login로 미세하게 틀립니다. (그외, 피싱페이지는 pl 대신 ru, pm 등을 사용하는 경우도 있다고 함)

 

4. 하단 '네이버인증서' 이미지도 정상페이지에 비해 피싱페이지껀 먼가 흐릿하게 보임 (네이버가 로그인창이 변경될때마다 피싱애들도 정기적으로 업데이트 하는 것으로 예상됨)

---

추가로, 피싱페이지에서 상단 네이버 로고를 누르면, 아래와 같은 네이버 사이트로 이동하는데요....
역시 주소에 pl이 붙어있고, 스샷과 같이 올바른 보안 인증서가 서명되지 않았다며, 이상하게 뜨게 됩니다.

---

또한, 메일 목록도 다시 확인해 보면...
실제 네이버에서 보낸 메일은 네이버로고가 있으나, 해당 피싱메일은 일반 메일과 같이 봉투로 표시되어 있습니다.

---

◆ 대응법 ◆

 

만약, 해당 피싱메일을 통해 실수로라도 재로그인을 하게 되었다면...
이미 해당 네이버 로그인 정보는 탈탈 털린거이므로...
인지한 즉시 로그인 변경 및 그외 조치를 취해야 하는데, 아래의 내용 정도가 되겠네요.

1. 네이버 로그인 및 보안설정 변경
네이버의 내정보 메뉴로 가셔서, <비밀번호 변경, 지역차단, 전용아이디, 기기로그인 알림> 등을 모두 설정해 주면 좋고, 비밀번호의 '2단계 인증'은 사용시 좀 번거롭긴 하지만 좀더 확실한 보안대책이 됩니다.

2. 네이버와 동일 또는 유사한 형태의 로그인을 사용하는 사이트들의 로그인 정보도 모두 찾아서 변경

---

참 날이 갈수록 나쁜놈들도 진화를 거듭하고 치밀해지니, 참 피곤해 지는 세상입니다...--;;