포스팅 내용

악성코드 분석 리포트

'국내 포털 사이트의 계정 종료'로 위장한 악성 메일 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.

 

최근 귀하의 Daum 계정은 종료 됨으로 위장한 피싱 메일이 국내에서 유포되고 있어 사용자들의 주의를 당부드립니다.

 

이번에 발견된 메일은 계정을 계속 사용하기 위해서는 ‘Upgrade account now’를 클릭하여 업데이트를 하라는 내용을 담고 있습니다.


[그림 1] 포털 사이트 계정 종료 안내 피싱 메일

 

사용자가 버튼을 클릭하였을 경우 아래 사이트로 연결합니다


하지만 현재는 해당 사이트 호스팅 업체에 의해 차단된 상태여서 정상적으로 접속되지 않습니다.


URL : http://j841377.myjino.ru/daaum/index.php

IP : 81.177.140.202 (RU)


[그림 2] 피싱 사이트 접속 화면


하지만 동일한 공격자가 현재도 사용중인 걸로 추정되는 사이트를 발견하였습니다.


해당 포털 사이트의 로그인 창과 동일한 내용을 보여주고 사용자로 하여금 계정정보(ID, password)를 입력 하게 유도하여, 사용자의 계정 탈취를 시도합니다.


[그림 3] 로그인 유도 피싱 사이트


[그림 4] 공격자 서버로 입력한 정보 전송


현재 작동되는 사이트 정보는 아래와 같습니다.


URL : http://j8korea.myjino.ru/daaum/index.php 

IP : 195.161.41.143 (RU)


따라서 출처가 불분명한 메일에 존재하는 링크 혹은 첨부 파일에 대해 각별히 주의하시고, 로그인을 시도하는 

페이지의 주소가 의도한 사이트가 맞는지 한번 더 확인하는 습관이 필요합니다.


만약 계정 도용에 의한 피해를 입었거나 도용이 의심될 경우, 2, 3차 계정 유출에 의한 피해를 막기 위해서 

사용하는 인터넷 서비스 계정의 비밀번호를 주기적으로 바꾸고, 특수문자, ,소문자를 포함하는 비밀번호를 드시 사용하시기 바랍니다.




티스토리 방명록 작성
name password homepage