포스팅 내용

악성코드 분석 리포트

[주의] 특정 대학교를 타깃으로 한 스피어 피싱 공격 포착


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


어제 오후 특정 대학교를 타깃으로 한 스피어 피싱 공격이 포착되었습니다. 


이번에 발견된 스피어 피싱 메일은 타깃 사용자의 메일 저장 용량을 늘려야 한다면서, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."라는 문장에 계정 정보를 탈취하기 위한 링크가 삽입되어 있었습니다.



[그림 1] 메일 저장 용량 내용의 스피어 피싱 공격 메일


만약 해당 스피어 피싱 메일을 받은 사용자가 본인의 계정의 메일 저장 공간이 부족해 안내된 메일로 착각하고, "이메일 저장 용량을 늘리려면 여기를 클릭하십시오."를 클릭한다면 아래와 같이 로그인 페이지를 위장한 피싱 페이지를 확인하실 수 있습니다.



[그림 2] 로그인 페이지를 위장한 피싱 페이지



피싱 페이지에는 이미 공격자의 타깃 이메일 주소가 설정되어 있으며, 피해자가 이 피싱 페이지를 로그인 사이트로 착각해 본인 계정의 비밀번호를 입력하면, 계정 정보가 공격자의 서버로 전송됩니다.



[그림 3] 공격자에게 전달되는 피해자 계정 정보



피싱 사이트

- hxxp://lowmarkinpricesd[.]com/urity?email=피해자 이메일 주소


정보 수집 사이트

- hxxp://lowmarkinpricesd[.]com/urity/login.php



정교하게 제작된 스피어 피싱 메일을 자세히 확인해보지 않으면 일반 사용자들은 피싱 메일인지 알기 어렵습니다.


따라서 본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인해야 하며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


또한 사내 보안팀에 의심 메일을 적극적으로 신고하는 습관을 들여야 합니다.


현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



[그림 4] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면



티스토리 방명록 작성
name password homepage