상세 컨텐츠

본문 제목

중고마켓 마스크 안전거래 사기 주의!!

악성코드 분석 리포트

by 알약(Alyac) 2020. 3. 11. 08:40

본문

 



안녕하세요. ESRC(이스트시큐리티 시큐리티대응센터)입니다.


최근 코로나19 바이러스로 인해 마스크 수요가 증가하자 인터넷 거래를 유도하여 국내 포털 사이트의 계정과 개인 정보 및 금전적인 이득을 취하는 중고마켓 사기가 발생하고 있어 사용자들의 주의가 필요합니다.


허위 마스크 판매자는 실제 중고마켓에 마스크 판매 글을 올려 직거래나 택배 판매는 안되고 연락을 특정 메신저를 통해서 받고 있으며, 메신저를 통해 연락 시 사용자에게 허위 안전거래 사이트 링크를 전달하는 방식으로 접근하고 있습니다.


 

[그림 1] 메신저를 통한 허위사이트 전달 화면



판매자가 전달 한 링크를 클릭하면 특정 중고마켓 사이트와 동일하게 만들어진 허위 사이트로 이동하게 됩니다.



[그림 2] 중고마켓 사이트와 유사하게 만들어진 허위 사이트



사용자가 허위 사이트에서 안전결제 버튼을 누르면 실제 안전거래와 동일한 방식으로 진행하게 되며 결과적으로 사용자 계정을 가로채기 위한 로그인 화면으로 이동하게 됩니다.



 [그림 3] 사용자 정보를 가로채기 위한 로그인 화면



사용자는 안전거래를 위해 로그인 계정과 패스워드를 입력하면 다음 안전거래 프로세스와 동일하게 주문/결제 페이지로 이동합니다. 이때 기입한 정보들은 모두 개인 정보 수집 사이트로 전송됩니다.


 

[그림 4] 사용자 정보를 가로채기 위한 안전거래 일부 화면



전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

 



[그림 5] 수집 된 개인정보 내용



최근 코로나19로 인해 마스크 구입이 어렵기 때문에 중고마켓을 이용할 경우가 많아지고 있는 만큼 사용자는 안전한 사이트에서 거래를 해야하 며, 만약 개인 정보를 입력해야 하는 경우에는 현재 사이트가 정상적인 사이트인지 아닌지 인터넷 주소를 확인하는 습관을 들여야 합니다.


이스트시큐리티 ‘쓰렛인사이드(Threat Inside)’에서는 해당 허위 거래사이트 및 개인정보 수집 사이트를 아래와 같이 탐지하고 있으며, 알약M에서도 카카오톡 알림 메세지를 통해 탐지가 가능합니다. 

(* 특정 앱 알림 또는 미리보기를 OFF 해두신 경우, 해당 앱의 메세지는 알약M 스미싱 탐지 대상에서 제외됩니다. 참고 )



[그림 6] ESTsecurity-Threat Inside 허위 거래사이트 탐지 화면



[그림 7] 알약M 탐지화면




관련글 더보기

댓글 영역