NH농협 해킹 문자

오늘 아침 NH 농협으로부터 문자 한통을 받았습니다.

"고객님 개인정보가 유출되었으니 보안강화 바랍니다" 라는 경고 메시지와 함께 아래 사진과 같이 NH 농협의 개인정보 변경 주소 링크를 걸어놓아 두었습니다.

실제로 NH 농협의 자신들의 사이트 주소를 문자를 통해 발송하는 경우가 있을까요?

특별한 경우가 아니고서는 이렇게 해킹당한 문자와 함께 링크를 걸어놓지는 않을 것입니다.

실제로 해당 링크로 접근 시도를 해보았습니다.

http://nh-tcbank.com

-----

NH 농협 해킹 문자

이 사이트로 접근 시도를 해보았으나 접속은 되지 않았으며 아래와 같이 사이트를 찾을 수 없다는 "웹페이지를 표시할 수 없습니다" 라는 메시지를 확인하였습니다.

Loopback ip로 redirected 접근 불가 확인

이게 어떻게 된 일일가요?

nslookup을 통하여 DNS 서버를 바꿔가며 조회해봤는데 모두 동일하게 아래와 같이 Loopback ip로 조회되었습니다.

이 스팸 문자가 발송된 후 각 NH 농협은 ISP별로 DNS 쿼리 ip를 조정요청 받은 듯 합니다.

> server 168.126.63.1
기본 서버:  kns.kornet.net
Address:  168.126.63.1

> nh-tcbank.com
서버:    kns.kornet.net
Address:  168.126.63.1

이름:    nh-tcbank.com
Address:  127.0.0.1

 

아니면 이 주소의 ip대로 자신의 사이트에 대한 접근이 이루어진다면, 웹서버가 구동 중인 시스템에서는 자신의 사이트가 떠버리게 되는, 그렇지 아니하다면 이미 백도어를 통하여 침투된 스파이웨어나 악성코드에 의해 이미 조작된 NH농협 사이트로 접속하게 되어 해커로부터 조정당했을 수도 있겠습니다.

만약 이 문자를 받은 후 NH 농협 유사 홈페이지로 접근한 후 로그인하여 개인 정보를 변경했을 경우, 해커들은 해당 정보를 전송받아 개인 정보를 알아채 버렸을 것입니다.

그리고는 그 유출된 개인 정보를 악용하여 실제로 송금이 이루어질 수 있는 경우의 수도 만들 수 있으며, 수집된 개인정보를 악의적인 목적을 갖고 있는 곳에 팔아넘길 수도 있겠죠.

정말 무시무시한 해킹 시도 스팸 문자가 아닐 수 없습니다.

이러한 해킹 문자로 인한 피해를 줄이고자 여러분들과 공유합니다.

-----

방문 감사합니다 (__)