1. 소개
-
SNS(인스타그램, 페이스북, 트위터 등)의 로그인 페이지와 유사한 형태로 전송하여 사용자 로그인 유도
-
일반 SNS 접속 URL 주소가 아닌 주소이기 때문에 첨부된 링크 주소 확인 필요
2. 사용 용도
-
특정 사용자에게 SNS 로그인을 유도하는 링크를 보내 ID/PW 정보 탈취
3. 사용법
□ Pshing Tool 설치
□ shellphish 권한 설정 변경
□ shellphish 실행 초기 화면
- 상대방에게 보낼 SNS(인스타그램, 페이스북 , 트위터 등) 선택
□ SNS(인스타그램) 선택 화면
□ 웹 페이지 접속 화면(https://1d40a3d10843.ngrok.io)
□ 사용자 ID/PW 획득
4. 획득 정보
-
로그인 사용자 ID / PW
-
로그인 사용자 IP주소
5. 결 론
-
알수없는 형태의 URL을 무심코 클릭하여 로그인할 경우 사용자의 ID / PW를 탈취하게되어 해당 계정과 비밀번호를 사용하는 다른 웹 사이트에 로그인하는 2차 피해 우려