'For you bro' SCAM

 

 

 피싱 사이트를 막는 방법 중에서 브라우저 딴에 URL을 검사해 확인, 가중치가 높으면 스캠 아니면 정상을 판단하는 방법이 있다. 예를 들어 접속자 수가 많은 URL은 스캠일 가능성이 낮으니 제외, 주소가 p1atinum.tistory.com-ru/... 처럼 도메인 중에 혓바닥이 긴 친구가 있거나 p1atinum.tist0ry.com 이렇게 유명한 URL을 악용한 주소일 경우 스캠이라고 판단하는 가중치를 높이는 방식이다.

그런데 이는 사전에 실행해 DB에 해당 사이트가 스캠인지 아닌지 결정이 되어 있어야 쾌적한 UX를 제공할 수 있을 것이다.

그러니

이런 문제가 생긴다. 아마 MS의 데이터베이스에는 스캠이라고 확정이 나있는데 Google과 Brave는 자체 데이터베이스에 해당 사이트가 확정이 안 났는가 보다. 검색하면 적어도 올해 1월 22일부터 성행한 스캠인데도 말이다.

 

사이트 자체는 아무 일도 안 한다.

 토큰만 따오고 싶어 하니까 당연한 소리겠지만 악성 광고나 추적을 하지 않는다. 그 흔한 쿠키도

자체에서 생성한 세션을 위한 쿠키만 있을 뿐이다.

 

 보통의 피싱 사이트는 정확한 패스워드를 탈취하기 위해 한 번 정도 Denying 한다. 그리고 통과 시켜서 아이디와 패스워드를 탈취하는데 이번 피싱 사이트는 실제로 로그인 시도를 한 계정이 유효한지 검사한다.

아마 디스코드 API를 사용해 로그인을 시도한 후에 토큰을 정상적으로 받으면 통과시켜주는 듯 하다.

 

실제 디스코드의 QR코드처럼 보이지만

자체에서 만든 스캠 QR 코드이다. 그럼 가운데의 디스코드 마크는?

당연히 지네들의 리소스였던 거시여따!

 

그럼 얘네들은 어디서 왔을까?

 

 

일정 이상 크기의 핑은 수신하질 않더라...ㅠㅠ 사적제재 실패!

일단 알아낸 ip는 해당 URL을 호스팅하는 서버 주소인 185.112.83.27 그리고

js파일이 있는 저 URL의 주소인

217.69.142.100은 둘 다

러시아였떤 거시여따!