안녕하세요?
이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 코로나19이슈 상황에서 비말 차단용 마스크를 공급하는 유명업체 사이트를 교묘하게 베낀 가짜 사이트로 인해 마스크를 구입하고자 하는 사용자들의 금전적인 피해가 속출되고 있어 주의가 필요합니다.
[그림 1] 유명 마스크 판매 사이트와 사기사이트 비교 화면
이번에 발견된 사기 사이트는 정상적인 마스크 판매 사이트 도메인과 한 글자만 변경한 가짜 도메인을 가지고 있으며, 국내 포털사이트 카페 등에서 해당 가짜 도메인이 언급된 내용이 유포되고 있습니다.
- 정상 마스크 판매 사이트 도메인
hxxp://welkeepsmall[.]com
- 가짜 마스크 판매 사이트 도메인
hxxp://welkeesmall[.]com
[그림 2-1] 포털사이트 카페에서 실제 유포 중인 화면 1
[그림 2-2] 포털사이트 카페에서 실제 유포 중인 화면 2
사기 사이트는 정상적인 사이트와 동일하게 회원가입 및 주문이 가능하게 제작되어 있으나, 결제 부분에서는 신용카드로 결제가 되지 않도록 막아두었으며 무통장입금을 통해서만 결제가 가능하도록 제작되어 있습니다.
[그림 3-1] 가짜 마스크 판매 사이트에서 사용 중인 결제 화면 1
[그림 3-2] 가짜 마스크 판매 사이트에서 사용 중인 결제 화면 2
사용자가 허위로 작성 된 카페 게시물을 보고 사기 사이트에 접속하여 개인정보를 입력할 경우, 금전적 피해뿐만 아니라 공격자가 세팅한 개인 정보 수집 사이트로 입력된 개인 정보가 모두 전송됩니다.
전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.
[그림 4] 공격자가 수집하는 사용자가 입력한 개인정보 내용
- 개인정보 수집 사이트
hxxp://welkeesmall[.]com
- 개인정보 전달 서버 IP
106.249.25[.]33
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 사기 사이트를 아래와 같이 탐지하고 있습니다.
[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면
Trojan.Ransom.PLUTO 악성코드 분석 보고서 (0) | 2020.06.16 |
---|---|
n번방 이슈를 악용한 Konni 조직의 APT 공격 포착! (0) | 2020.06.15 |
김수키(Kimsuky) APT 그룹, 과거 라자루스(Lazarus) doc 공격 방식 활용 (0) | 2020.06.11 |
금성121(Geumseong121) 그룹, 교원 모집 공고문 등으로 변칙적 워터링 홀 공격 (0) | 2020.06.05 |
김수키(Kimsuky) 그룹, HWP, DOC, EXE 복합적 APT 공격 작전 (1) | 2020.06.02 |
댓글 영역