국내 불특정 다수를 대상으로 한 피싱 메일 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 제품 주문서 관련 건으로 위장하였고, 첨부 파일의 실행을 유도합니다.

[그림 1] '제품 주문서'로 위장한 악성 메일

첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며, 이를 통해 드롭박스로 연결을 유도합니다.

[그림 2] 피싱 사이트 접속을 유도하는 PDF 파일

이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다.

[그림 3] 이메일 및 비밀번호 입력 유도 피싱 사이트

이메일 주소와 비밀번호를 입력하고 'Sign in'을 누를 경우 다음과 같이 추가적으로 휴대폰 번호 혹은 복구 이메일 주소(보조 이메일 주소) 입력을 유도합니다.

[그림 4] 휴대폰 번호 혹은 복구 주소 입력 유도 페이지

하지만 실제로 공식 드롭박스 사이트로 입력한 정보를 전송하는 것이 아니라, 공격자의 서버(mysecuritychange.net)로 입력한 정보들이 전송하기에 개인 메일 계정의 정보 유출에 따른 추가 피해가 발생할 수 있습니다.

[그림 5] C&C로 입력한 정보를 전송하는 화면

따라서 이용자들은 출처가 불분명한 메일에 있는 링크나 첨부파일에 대해 접근을 삼가주시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.

현재 알약에서 피싱 사이트로 연결 유도하는 PDF 첨부파일을 'Trojan.PDF.Phish'로 진단하고 있습니다.