허위 결제 내역 정보를 이용한 국내 포털(NATE) 피싱메일 주의!!

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

국내 대형 포털 사이트 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 

이번에 발견된 피싱 메일은 “확인 바랍니다 입금”라는 제목으로 전파되었으며, 전자결제 서비스를 이용하여 결제된 내역이 담긴 “TT.doc (25K).htm” 파일이 첨부되어 수신자의 첨부파일 실행을 유도하고 있습니다.

 [그림 1] 국내 포털 사이트 계정을 노리는 피싱 메일 화면

피싱 메일에 첨부된 파일은 “TT.doc”로 doc의 문서처럼 보이지만 실제로는 “htm” 문서로 파일 실행 시 브라우저를 이용하여 피싱 페이지를 보여주게 됩니다.

 

[그림 2] 국내 포털 사이트 피싱 페이지 화면

피싱 사이트에 계정과 비밀번호를 입력할 경우, 개인정보 수집 사이트로 입력된 개인정보가 전송되며 상세한 내용은 아래와 같습니다.

- 개인정보 수집 사이트

hxxps://proapform[.]com/obwork.php

- 개인정보 수집 서버 IP

205[.]134.255.185

입력된 개인정보 전송이 완료되면 정상적인 포털 사이트 로그인 페이지로 연결하기 때문에 사용자는 계정 정보가 유출된 사실을 알아차리기 어렵습니다.

 

[그림 3] 국내 포털 사이트 정상 로그인 페이지 화면

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 피싱 사이트를 아래와 같이 탐지하고 있습니다.

[그림 4] ESTsecurity-Threat Inside 개인정보 수집 사이트 탐지 화면