포스팅 내용

악성코드 분석 리포트

택배 스미싱의 종류와 예방 및 대응방법


안녕하세요. ESRC(시큐리티 대응센터)입니다.


연초부터 발생한 국제적 이슈인 신종 코로나로 인하여 택배를 통한 상품 주문량이 크게 증가했습니다. 이에 따라 택배 관련 스미싱도 증가하여 가뜩이나 신종 코로나로 불안해하는 국민들에게 불편을 가중시키고 있습니다. 이에 최근 수집되고 있는 택배 관련 스미싱 문자 내용과 정상적인 택배 배송 관련 문자 내용을 살펴보고 스미싱 예방 방법에 대해 알아보도록 하겠습니다.

 

다음 표는 최근 수집된 택배 관련 스미싱들을 정리한 내용입니다.



사칭

택배사

문자 내용

도메인

 

 

 

 

 

 

 

 

 

 

 

 

CJ

(대한통운)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[Web발신][CJ대한통운]고객배송님가/고객님/상세주 소다시 확인주세요.www.xxxx.com.cn

 

 

 

com.cn

[cj대한], 고객센터주소지/상세주 확인주세요.www.xxx.com.cn

[Web발신][CJ대한통운] 택배 도착 주소 오류, 본인 정보 확인 배송 xxxxxx.ggajwuu.com.cn

[CJ**] 상품을 배달하지 못했습니다, 주소 정보를 확인하세요.new.so/xxx

 

 

 

new.so

[Web발신] [CJ**]물품이 수신되지 않음 재발송일안내입니다 확인바랍니다 new.so/xxx

[Web발신][CJ*통운]OOO상품이배달되지못하였으니,주소를확인해주십시오.new.so/rds

(C-J--)주문하신물품 미배달 도로명불일치 .수정바랍니다:xx.emarssg.pro

 

 

emarssg.pro

(CJ대한)주문하신물품 미배달 도로명불일치 .수정 바랍니다.xx.emarssg.pro

[Web발신] {C*J대한}운송장번호[3697*****7089]**소지미확인 반송처리주소확인:xx.cjthessm.cn

 

 

 

.cn

[Web발신]{C*J*}운송장번호[336**7]주소지미확인,반송처리주소확인:xx.cjthemsk.cn

[CJ대한통운],무료로 2개의 마스크를 제공.상세 주소지를 확인해주세요.www.xxxxxxxx.cn

[CJ**]OOO수취인과 주소가 없습니다 화주 정보를 확인하세요 is.gd/xxx

is.gd

[Web발신][CJ**]OOO수령인이 없습니다 화주 정보를 확인하세요 is.gd/xxxxxx

[Web발신]{C*J대한} *문하신물품*미배달사*:도로*명불*일치.*정하세요:xx.cjmalln.cc

.cc

(cj택배) 배송했습니다hxxps://bit.ly/xxxxxxx?xx

bit.ly

[Web발신][CJ대한통운]OOO배송 7박스 문앞()로배송완료했습니다.사진: dokdo.in/xxx

dokdo.in

 

 

 

 

한진택배

한진택배 확인부탁합니다 http://wuaxe.com/?xxxxx

wuaxe.com

[국제발신] 한진택배 확인부탁합니다 hxxp://xcsqa.xyz/?xxxx

.xyz

[한진택*]OOO고객님 주문 오류 배/송 중지,즉시수정 new.so/xxx

new.so

[Web발신][한진택*]OOO운송장번호[36***7]**소지미확인 반송처리주소확인:s.id/xxxxx

s.id

 

우체국

택배

우체국택배 확인부탁합니다.hxxp://psuig.xyz/?xxxxxx

 

.xyz

우체국택 배배송했습니다~ hxxp://pshes.xyz/?xxxxxx

로젠 택배

로젠택배 배송 확인부탁합니다hxxp://xvwes.xyz/?xxx

.xyz

롯데 택배

롯데택배 확인부탁합니다hxxp://nhxsw.xyz/?xxx

.xyz

 

기타

배송불가 물품 확인되여 확인부탁합니다hxxp://nhtyr.xyz/?xxxxx

 

.xyz

택배확인 부탁드립니다 hxxp://yrhdc.xyz/?xxxxx

[표 1] 택배 관련 스미싱 문자들



위 표를 살펴보면 공격자들은 다양한 택배 회사를 사칭하고 있다는 것을 알 수 있습니다. 그러나 잘 살펴보면 스미싱 문자의 내용 대부분이 택배를 확인 해달라는 내용이라는 공통점이 있습니다. 그다음으로 택배가 반송되었으니 주소 등을 다시 확인 해달라는 내용입니다. 그리고 또 다른 공통점으로는 문자 내용이 짧으며 수상한(?) URL이 포함되어 있다는 점입니다.

 

이어서 정상적인 택배 관련 문자들을 살펴보도록 하겠습니다. 다음 그림은 택배 회사들에서 보내는 정상적인 택배 관련 문자들을 보여주고 있습니다.



 

[그림 1] 택배 회사들의 정상 택배 관련 문자



위 그림을 살펴보면 정상적인 택배 관련 문자는 배송되는 상품과 운송장 번호 등 자세한 정보를 제공하고 있습니다그러나 스미싱 문자를 살펴보면 상품 관련 정보가 없음을 알 수 있습니다.

 

그리고 정상 문자에서 제공되는 URL 들은 상품의 배송 정보를 조회할 수 있는 택배 회사의 공식 웹 페이지 링크이거나 구글 앱스토어의 배송 조회 앱 설치 페이지의 링크입니다.


다음 그림은 택배 회사 또는 배송 기사님이 보내는 배송 스케줄 문자를 보여주고 있습니다. 스미싱 문자와 같이 내용이 짧지만 문자 내용은 배송 상품이 도착할 대략적인 시간 정보가 주요 내용임을 알 수 있습니다. 그러나 스미싱 문자와 달리 URL 정보가 없습니다.



[그림 2] 정상적인 택배 배송 관련 문자



스미싱 문자와 정상적인 택배 회사들의 문자 비교에서 알 수 있듯이 문자 내용에 주의를 기울이면 충분히 스미싱 문자임을 알 수 있습니다.

 

그래도 스미싱 문자인지 헷갈린다면 다음과 같은 방법으로 스미싱 공격의 예방과 대응을 할 수 있습니다.


- 스미싱 문자 예방

1) 출처가 불분명한 문자를 수신한 경우 문자 내의 링크 클릭 자제.

2) 링크를 클릭하기 전 정상 사이트의 도메인과 일치하는지 확인.

3) 휴대폰 번호, 아이디, 비밀번호 등의 정보는 신뢰된 사이트에서만 입력.

 

- 악성 앱 감염 시 대응

1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

3) 백신 앱이 악성 앱을 탐지하지 못했을 경우

A. 백신 앱의 신고하기 기능을 사용하여 신고.

B. 수동으로 악성 앱 삭제


이러한 스미싱 문자들에 대해서 알약 M에서 탐지가 가능합니다.  알약M다운로드


 


티스토리 방명록 작성
name password homepage