계정 보안으로 위장한 국내 포털 피싱 메일 주의!!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 계정 서비스가 보안상으로 잠겨서 로그인을 통해 신원정보 하라는 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 “마지막 경고” 제목으로 전파되고 있으며, 보안상의 이유로 사용자 계정 서비스를 처리 할 수 없고 포털 사이트의 모든 서비스가 일시 중지 된다고 사용자를 속입니다.

이후 신원정보를 위해 제작자가 만들어 둔 피싱 사이트에 로그인을 하도록 사용자들의 클릭을 유도 합니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 로그인을 위해 클릭 하는 순간 국내 포탈 피싱 사이트로 연결됩니다. 

[그림 2] 다음 메일 피싱 사이트

 

사용자가 신원 정보를 확인하기 위해 해당 페이지에 계정 정보를 입력한다면, 입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림 3] 사용자 계정정보 전송 화면

 

개인정보를 수집하는 코드를 살펴보면, 사용자가 입력한 ID, Password를 수집하며 추가적으로 사용자의 IP주소를 수집하여 특정 메일로 전송 하는 것을 알 수 있다.

[그림 4] 사용자 계정정보 수집 코드

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 마이크로 소프트 핫메일(Hot Mail)도 추가적으로 발견되었습니다.

[그림 5] 마이크로소프트 핫메일 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고, 로그인 할 때에는 반드시 해당 URL을 확인하는 습관을 길러야 합니다. 

[그림 6] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat Inside에서 확인하실 수 있습니다.