포스팅 내용

악성코드 분석 리포트

국내 비트코인 거래소 출금알림 이메일로 사칭한 피싱사기 주의보



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 비트코인 시세가 가파르게 상승하면서 많은 사람들이 가상화폐에 높은 관심을 가지고 있습니다. 이에 따라 가상화폐와 관련된 다양한 사이버 범죄들도 비례적으로 증가하고 있어 각별한 주의가 필요한 시기입니다.


그런 와중에 지난 일요일(20일) 국내의 특정 가상화폐 거래소 이용자 등을 대상으로 피싱메일이 다량으로 전파된 정황이 포착되었습니다.


공격자는 국내 유명 비트코인 거래소 중 한곳을 사칭하여 마치 '출금완료 알림' 내용으로 조작한 피싱 메일을 유포했으며, 메일 본문에는 다음과 같이 '새로운 기기에서의 로그인 알림' 내용처럼 위장하고 있습니다.


특히, 다른 IP 주소에서 수신자의 로그인이 발생한 것처럼 보안주의를 안내함으로써, 공격 대상자의 심리를 교묘히 활용해 피싱 사이트로 접속하도록 현혹시키고 있습니다.



[그림 1] 국내 특정 가상화폐 거래소를 사칭한 피싱 이메일 화면



피싱 메일의 발송자는 '(주) ** <info@******.or.kr>' 주소를 사용하였는데, 얼핏 보기에는 국내 유명 가상화폐 거래소로 착각할 수 있지만, 실제 해당 웹 사이트의 정상적인 인터넷 주소는 '.or.kr' 주소가 아니라 '.co.kr' 주소를 사용하고 있습니다.


공격자는 실제 특정 가상화폐 거래소처럼 보이도록 만들기 위해 나름 유사한 도메인 주소를 생성해 공격에 활용한 것입니다.


만약 이메일 수신자가 해당 피싱 공격에 현혹되어 '이곳을 클릭해 주세요.' 링크를 클릭하고 접근하게 될 경우에는 실제 사이트와 흡사하게 제작된 피싱 사이트로 연결되고 이메일과 비밀번호 등 계정정보 입력을 유도하게 만듭니다.



[그림 2] 이메일 링크를 통해 연결된 실제 피싱 사이트 화면



만일 피싱 사이트에 속아 이메일과 비밀번호를 입력하게 되면 인증번호 입력을 추가 요구하는 화면을 보여주면서 이미 입력된 계정정보를 공격자의 서버로 은밀하게 전송하게 됩니다.



[그림 3] 피싱 사이트에 이메일과 암호를 입력할 경우 해커의 서버로 전송된 화면



이처럼 가상화폐 거래소 이용자 등을 대상으로 한 이메일 피싱공격이 확인됨에 따라 관련된 분들은 유사 해킹공격에 피해를 입지 않도록 주의가 요망됩니다. 또한, 동일한 계정 정보를 여러 웹 사이트에서 공통적으로 사용할 경우 악용될 위험도 존재하므로, 로그인 암호는 가급적 다르게 사용하는 보안습관이 중요합니다.


최근 가상화폐 이용자들을 겨냥한 다양한 사이버 공격 유형이 발생하고 있다는 점 명심해 주시고, 출처가 불분명한 메일의 열람을 삼가해 주시길 당부드립니다.


이스트시큐리티 시큐리티대응센터(ESRC)에서는 한국인터넷진흥원(KISA)과 협력하여 해당 피싱사이트의 국내 접속을 차단함과 동시에 유사한 위협에 보다 신속하게 대처할 수 있도록 보안 모니터링을 강화하고 있습니다.






저작자 표시
신고
티스토리 방명록 작성
name password homepage