다수의 이메일 계정을 수집하는 피싱 사이트 주의!!

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터) 입니다.

다수의 이메일 계정을 수집하는 피싱 사이트가 확인되어 사용자들의 주의가 필요합니다.

이번에 발견 된 피싱 사이트는 마이크로소프트의 원드라이브 로그인 페이지를 사칭한 페이지로 아웃룩, 지메일, 오피스 등 다수의 이메일을 수집 할 수 있도록 개발한 것으로 확인되었습니다.

 

[그림 1] 다수의 이메일 계정을 수집하는 피싱 사이트 화면

피싱 사이트에서 수집하는 이메일 리스트는 Outlook, AOL, Gmail, Office365, Yahoo, 기타 Mail 을 포함하여 총 6가지 입니다.

[그림 2] 수집 되는 이메일 리스트

또한 발견 된 피싱 사이트는 데스크탑과 모바일을 동시에 사용 할 수 있도록 반응형 페이지로 개발이 되었으며 그만큼 정교하게 제작이 되었습니다.

[그림 3] 모바일에서 접속 시 보여지는 피싱 사이트 화면

사용자가 원드라이브 로그인을 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 사이트 제작자에게 넘어가게 됩니다. 

제작자는 입력 된 계정들을 분류하기 위해 접속 한 계정 페이지마다 별도로 수집 데이터를 관리하고 있습니다.

[그림 4] 이메일 계정 별 전달 되는 사용자 정보

피싱 사이트 상위 페이지는 Opendir로 공개되어 있으며 동일한 UI의 피싱 사이트가 도메인만 다르게 셋팅 되어 있었습니다.

[그림 5] 공개 된 피싱 사이트 상위 페이지 화면

Threat Inside에서는 이와 같은 형태의 피싱 사이트를 신속하게 탐지 및 분석함으로써 관련 피해를 예방하기 위한 서비스를 제공하고 있습니다.

 [그림 6] 바이러스토탈 피싱 사이트 탐지 화면

* IoC

http://creadesigners[.]com/

http://creadesigners[.]com/Office/OneDriveCloud/login.php

http://creadesigners[.]com//Sipc/download/

http://creadesigners[.]com//accounts/download/

http://creadesigners[.]com//claws/file/uk/

http://creadesigners[.]com//exfile/chck/

http://creadesigners[.]com//file/download/

http://creadesigners[.]com//finra/chck/

http://creadesigners[.]com//view/OneDriveCloud/login.php

http://creadesigners[.]com//wpadmin/downl/

http://creadesigners[.]com//xlpx/file/uk/