# USPS 문자 사기범을 역으로 해킹하기

> Clean Markdown view of GeekNews topic #16248. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16248](https://news.hada.io/topic?id=16248)
- GeekNews Markdown: [https://news.hada.io/topic/16248.md](https://news.hada.io/topic/16248.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-08-10T08:34:55+09:00
- Updated: 2024-08-10T08:34:55+09:00
- Original source: [blog.smithsecurity.biz](https://blog.smithsecurity.biz/hacking-the-scammers)
- Points: 4
- Comments: 3

## Summary

USPS 스캠 텍스트 메시지를 역으로 해킹하여 스캐머의 정보를 추적하는 과정을 상세히 설명합니다. 독자는 스캐머의 도메인과 지역을 확인하고, 웹 소켓 통신과 PHP 파일 분석을 통해 취약점을 발견하는 방법을 배울 수 있습니다. 또한 SQL 인젝션을 통해 스캐머의 데이터베이스에 접근하여 정보를 빼내는 과정도 소개합니다. 국내에도 이런 스팸 메시지 많던데 똑같이 적용해보면 가능하려나요?

## Topic Body

- 무작위 번호로부터 스캠 텍스트를 받음 "USPS 패키지가 도착했지만, 주소 오류로 배달할수 없음. 아래 링크를 클릭해서 주소를 확인.."  
- 스캠임을 바로 알아차렸지만, 다른 사람들이 속을 수 있음. 내 아내도 몇 달전에 속았음  
- 온라인 채널에 이를 공유하자, 누군가(S1n이라고 부름)가 스캐머에게 복수하기로 결심  
  
#### 초기 조사  
- `nmap` 스캔을 통해 그들이 사용하는 더 많은 도메인과 지역을 확인  
- Burp Suite를 사용해 트래픽을 가로채며 사이트를 탐색해봄  
- 메시지에 포함된 사이트는 실제 USPS 사이트의 클론으로 보임  
- 동일한 IP를 확인하여 스캐머임을 확신  
  
#### 웹 소켓 통신  
- 웹 소켓 통신을 통해 파일 이름을 보내고 내용을 반환받음  
- 이는 로컬 파일 포함(LFI) 취약점으로 이어짐  
- LFI를 통해 환경에 대한 더 많은 정보를 얻음  
  
#### PHP 파일 분석  
- 스캠 사이트의 모든 PHP 파일을 확보  
- 파일은 매우 난독화되어 있으며, 중국어 문자가 포함됨  
- 텔레그램 채널을 통해 통신하고 MySQL 서버에 데이터를 저장  
  
#### 추가 정보 수집  
- `nginx` 접근 로그를 통해 설정 IP를 확인  
- 인증서 정보와 IP를 기반으로 중국 스캐머임을 추정  
  
#### SQL 인젝션  
- POST 파라미터에 단일 인용부호를 사용하여 오류를 유발  
- SQLMap을 사용하여 스캐머의 데이터베이스에 접근  
- 데이터베이스 내부를 탐색하며 스캐머의 정보를 확인  
  
#### 데이터베이스 탐색  
- `admin` 테이블에서 스캐머의 관리자 정보를 확인  
- `config` 테이블에서 사이트 설정 정보를 확인  
- `userinfo` 테이블에서 피해자들의 상세 정보를 확인. 3818명이 등록되어 있음   
- `records` 테이블에서 사이트 방문자 추적 정보를 확인  
  
#### 마무리  
- S1n은 이 모든 증거를 어떻게 처리할지 말하지 않았지만, 아마도 수집한 증거를 인터넷 범죄 센터에 전달하여 사이트를 폐쇄하고 법의 심판을 받도록 할 것임

## Comments



### Comment 27921

- Author: xguru
- Created: 2024-08-11T12:07:32+09:00
- Points: 1

국내에도 이렇게 이상한 URL 보내는 스팸 메시지 많던데 똑같이 적용해보면 가능하려나요?

### Comment 27938

- Author: tempus
- Created: 2024-08-12T09:50:57+09:00
- Points: 2
- Parent comment: 27921
- Depth: 1

국내법상 해외서버에 대한 공격도 문제 소지가 있습니다.  
적어도 양지에서는 굉장히 제한적으로만 허용했던걸로 알고 있습니다.

### Comment 27904

- Author: neo
- Created: 2024-08-10T08:34:56+09:00
- Points: 2

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41197300) 
- **NanoBaiter**: YouTube에서 사기꾼을 유인하고 그들의 시스템을 해킹하여 운영을 방해하는 활동을 함
  - 사기꾼을 식별하고 경찰에 신고하며 피해자에게 환불을 시도함
  - Stripe 계정을 통해 피해자에게 환불을 진행하고, CCTV를 통해 경찰의 급습 장면을 포착함

- **암호화된 비밀번호의 소금 값**: "wangduoyu666!.+-"이 사용됨
  - "wangduoyu666", "wangduoyu8", "wdy666666" 등의 유사한 사용자 이름이 발견됨
  - Google 검색을 통해 GitHub, LinkedIn 등의 계정이 발견될 가능성이 있음
  - Telegram에서 가짜 이름을 사용하고 있으며, 중국 가수의 이름을 도용함
  - 백업 Telegram 계정에서도 유사한 이름을 사용함
  - YouTube 채널에서 중국 방화벽 우회 방법을 설명하는 동영상이 다수 업로드됨

- **기술 윤리 교육**: 중국의 한 컴퓨터 과학 학생이 배운 기술을 이용해 부수입을 올리고 있음
  - 기술 윤리 교육의 필요성을 강조함
  - 강력한 기술을 가르치면서 윤리에 대한 교육이 부족함을 지적함

- **Smishing Triad 네트워크**: 하루에 최대 10만 개의 사기 문자 메시지를 전 세계에 발송함
  - iMessage 사기는 e2ee를 사용하지만, SMS 사기는 적발되어야 함
  - 사이버 범죄를 효과적으로 처리할 수 있는 법 집행 기관의 필요성을 언급함
  - 미국은 NSA의 Blue Team 버전이 필요함을 주장함

- **사이버 범죄자 해킹**: 사이버 범죄자를 해킹하는 것이 법적으로 처벌받을 수 있는지에 대한 질문
  - 도난당한 물건을 되찾기 위해 도둑의 집에 침입하는 것과 유사한 상황을 설명함

- **해커와 사기꾼을 무시하는 법**: 해커와 사기꾼을 무시하는 것이 최선임을 배움
  - 그들은 강력한 반격을 할 수 있으며, 실제로도 위험할 수 있음
  - 친구가 스패머를 해킹했다가 서버가 공격당한 사례를 언급함

- **새로운 전화/문자 메시지 인프라 필요성**: 번호 스푸핑을 방지하고 사기 시도를 필터링하는 인프라의 필요성을 강조함

- **CFAA 예외 조항**: 이러한 상황을 위한 CFAA의 예외 조항이 필요함을 주장함