포스팅 내용

악성코드 분석 리포트

Apple iPhone 분실 관련 스미싱 메시지 주의!


안녕하세요. 

이스트시큐리티 ESRC 입니다. 


최근 Apple iPhone 분실 관련 메시지가 iMessage를 이용하여 유포되고 있는 정황이 포착되었습니다. 수신된 iMessage 내용은 아래와 같습니다. 


 

[그림 1] iMessage로 발송된 스미싱 메시지 (출처 : 네이버 지식인)


※ 스미싱 상세내용


Apple 고객센터

고객님 안녕하세요. 고객님께서 분실하신 아이폰 찾았습니다. 아래의 주소 https://www.apple.com-sr.kr 연결하여 상세한 위치를 확인하고 기기를 활성화하십시오. 고객님의 아이폰 찾기에 협조해드리겠습니다.

Apple 지원팀



Apple 고객센터

고객님 안녕하세요. 고객님께서 분실하신 iPhone XS Max를 찾았습니다. 고객님께서 https://www.apple.com-sr.kr 에 등록하여 상세한 정보를 확인하고 기기를 활성화하십시오. 그리고 고객님의 iPhone 찾기에 협조해 드리겠습니다.

Apple 지원팀


스미싱 메시지에 포함된 링크를 클릭할 경우 사용자의 Apple 계정을 탈취하기 위한 피싱 사이트로 이동됩니다. 피싱 사이트에는 “나의 iPhone 찾기”라는 문구와 함께 분실된 기기를 찾는다며 사용자의 Apple 계정을 요구합니다.


[그림 2] Apple ID를 탈취하기 위한 피싱 사이트와 정상 사이트 비교 화면


사용자가 실제 Apple 로그인 계정과 패스워드를 입력할 경우, 개인정보 수집 사이트로 계정 정보가 전송되며, 개인정보가 전달된 후에는 미리 설정된 스크립트가 동작하면서 사용자에게 로그인 실패 경고 창을 팝업하고 다수의 입력을 요청합니다.


<script language=JavaScript>window.alert('Apple ID 또는 암호가 올바르지 않습니다.');</script>


[그림 3] 수집된 개인정보 내용


전송된 개인정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다. 


[그림 4] 수집된 개인정보 내용


※ 개인정보 수집 사이트 상세 정보


개인정보 피싱 사이트 : https://www.apple.com-sr[.]kr

개인정보 전달 사이트 : https://www.apple.com-sr.kr/find/wap1[.]asp

개인정보 전달 서버 IP : 45.138.209[.]185 (KR)


나날이 정교해지는 스미싱을 대비하기 위해 메시지에 포함되어 있는 출처가 불분명한 링크에 대한 접근을 지양해야 합니다. 현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다. 





티스토리 방명록 작성
name password homepage