포스팅 내용

악성코드 분석 리포트

계정 유효성 검사를 사칭한 스피어피싱 공격 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


어제 오후 특정 회사를 타깃으로 한 스피어피싱 공격이 포착되었습니다. 


해당 메일은 계정 유효성 검사를 사칭하여 유포되었으며, "이메일 주소 유효성 확인"에는 특정 계정의 정보를 탈취하기 위한 링크가 삽입되어 있습니다.



[그림 1] 계정 유효성 검사 사칭 스피어피싱 공격 메일



만약 해당 스피어피싱 타깃이 해당 메일의 계정 유효성 검사 대상이 본인의 회사 계정으로 착각해 "이메일 주소 유효성 확인"을 클릭한다면 아래와 같이 회사 로그인 페이지를 위장한 피싱 페이지를 확인하실 수 있습니다.



[그림 2] 회사 로그인 페이지를 위장한 피싱 페이지


피싱 페이지의 "Username" 란에는 이미 공격자의 타깃 이메일 주소가 설정되어 있으며 타깃 사용자가 이 피싱 페이지를 회사 로그인 사이트로 착각해 본인 계정의 비밀번호를 입력하면, 계정 정보가 공격자의 서버로 전송됩니다.



계정 정보 수집 사이트 상세 정보

- http[:]//tilesoutlet.com.au/fd/update/index[.]php



정교하게 제작된 스피어피싱 메일을 자세히 확인해보지 않으면 일반 사용자들은 피싱 메일인지 알기 어렵습니다.


따라서 본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인해야 하며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


또한 사내 보안팀에 의심 메일을 적극적으로 신고하는 습관을 들여야 합니다.


현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



[그림 3] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면




티스토리 방명록 작성
name password homepage