포스팅 내용

악성코드 분석 리포트

다음 커뮤니케이션을 사칭한 영문 피싱 메일 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 04월 19일) 다음 커뮤니케이션(Daum Communications)을 사칭한 영문 피싱 메일이 포착되었습니다. 


[그림 1] 다음 커뮤니케이션을 사칭한 영문 피싱 메일


공격자는 “Final Warning: Your Account Will Be Blocked Soon!”이라는 제목으로 피싱 메일을 유포했습니다.


그리고 메일 도메인으로 hanmail.net을 사용함으로써 다음에서 온 공지사항인 것처럼 보이려고 노력했습니다.


본문에는 메일 계정이 중지된 상태이며, 계정 서비스 종료를 막기 위해 이메일에 첨부된 링크로 들어가 메일 계정을 확인하라고 유도하고 있습니다.


또한, 공격자는 다음 이용 약관을 이야기하며 사용자를 속이려고 시도했습니다.


[피싱 메일 본문 내용]

Dear user,


Your incoming mails were placed on pending status, also your email account will be blocked in response to a complaint received by the administration.

According to provision 13.3 of Terms and Conditions, Daum communication may at any time, terminate its services for account.

Note: To avoid this termination process, you must verify now to verify your authenticity and wait for response from our management team. 

Once your account is upgraded, we will restore your account to its normal state.

Thank You.


Daum Communications


피싱 메일을 받은 사용자가 해당 메일의 링크를 클릭하면 다음과 같은 다음 로그인 페이지를 위장한 피싱 페이지가 열리게 됩니다.


[그림 2] 다음 로그인 페이지를 위장한 피싱 페이지


메일을 활성화하기 위해 사용자가 해당 피싱 페이지에 다음 아이디와 비밀번호로 로그인한다면, 개인 정보 수집 사이트로 계정 정보를 공격자에게 전송하게 됩니다.


전송된 개인 정보 수집 도메인 정보 및 내용을 좀 더 상세히 살펴보면 다음과 같습니다.


[그림 3] 개인 정보 수집 도메인 상세 내용


피싱 사이트 및 개인 정보 수집 사이트 상세 정보

피싱사이트 : https://xxxxxxxxxxxxxxxxxxxx.com/wp-admin/jxxc/daum.htm

개인정보 전달 사이트 : https://xxxxxxxxxxxxxxxxxxxxxx.com/wp-admin/jxxc/sec3.php

피싱사이트 서버 IP : 108.167.xxxx.xxxx

(보다 정확한 IoC 정보는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.)


피싱 사이트 내용 중 로그인 관련만 공격자 서버와 연결되어 있으며, 회원가입이나 아이디 찾기, 비밀번호 찾기 버튼의 경우 실제 다음 페이지와 연결되어 있습니다.


또한, 카카오계정으로 로그인 버튼의 경우 클릭해도 아무런 반응이 없음을 확인하실 수 있습니다.


실제 다음 페이지와 피싱 메일의 피싱 페이지를 비교해보면 다음과 같은 차이가 존재합니다.


[그림 4] 다음 사칭 페이지 vs 다음 페이지


각 기업의 외부 업무 담당자들께서는 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다. 


그리고 링크의 페이지 주소가 실제 사이트 주소와 동일한지 꼭 확인해 주시고, 자신의 계정이 로그인 되는 사이트의 URL을 확인하는 습관을 길러야 합니다.


이와 관련된 IoC(침해 지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.


[그림 5] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면





티스토리 방명록 작성
name password homepage