포스팅 내용

악성코드 분석 리포트

중앙행정기관 계정을 노리는 피싱 메일 주의!!


안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


중앙 행정기관 계정 탈취를 위해 접근하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다.


이번에 발견된 메일은 "[System Administrator]-Notice!" 라는 제목으로 수신되었으며 메일 계정이 중지되었으니 이를 취소하려면, 본문에 기재된 링크를 클릭하라는 허위 내용으로 수신자의 클릭을 유도하고 계정을 탈취하기 위한 목적으로 발송되었습니다.



[그림 1] 특정 행정기관의 계정 탈취를 위한 피싱 공격 이메일



메일을 수신한 사용자가 계정 중지를 해제하기 위해 메일 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피싱 페이지로 이동합니다. 클릭 시 바로 피싱 페이지로 이동하지 않으며, 1차 리다이렉트 페이지로 이동하여 정상적으로 메일 서버에 접속하는 것처럼 보여주는 것이 특징입니다.



[그림 2] 1차 리다이렉트 사이트 화면



최종적으로 이동된 피싱 사이트는 해당 행정기관의 계정만을 탈취하기 위해 만들어진 사이트로 사용자가 계정명과 패스워드를 입력할 경우, 입력한 계정정보 내용 모두가 개인정보 수집 사이트로 전송됩니다.



[그림 3] 피싱 사이트 화면



전송된 개인정보 항목과 도메인 정보를 살펴보면 다음과 같습니다.



[그림 4] 수집된 개인정보 내용



개인정보 항목이 모두 전달되면 5초 후, 국내 정상 사이트로 자동 이동되기 때문에 사용자는 정상적인 사이트에 접속했다고 착각할 수 있습니다.



[그림 5] 개인정보 전달 후 이동되는 정상 사이트



현재 이스트시큐리티 '쓰렛 인사이트(ThreatInside)'에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.



[그림 6] ESTSecurity-ThreatInside 피싱사이트 탐지 화면




티스토리 방명록 작성
name password homepage