안녕하세요. ESRC(시큐리티 대응센터)입니다.
최근 유명 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱메일들이 발견되고 있어 사용자의 주의가 필요합니다.
이번에 발견된 메일은 “RE: POSCO.CO.,LTD” 라는 제목으로 수신되었으며 주문한 신제품에 대한 견적을 첨부된 파일을 통해 확인하라는 내용으로 사용자의 클릭을 유도하여 사용자의 포털사이트 계정을 탈취하기 위한 목적으로 발송되었습니다.
[그림1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면
사용자가 신제품 견적을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우, 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.
[그림2] 브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면
사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 실제 견적서처럼 보이는 파일을 구글 드라이브를 통해 사용자에게 보여줍니다.
[그림3] 사용자를 속이기 위해 연결된 견적서 파일 화면
또한 이번에 제작된 피싱 페이지는 실제 포털 로그인 페이지와 매우 흡사하기 때문에 사용자가 쉽게 현혹되어 개인 정보를 입력할 수 있으니 주의해야 합니다.
[그림4] 정상 포털사이트 로그인 페이지와 비교 화면
전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.
개인 정보 피싱 및 수집 사이트 상세 정보
- 개인 정보 수집 사이트
https://hongkmalls.info/naver-estimate.php
- 개인정보 전달 서버 IP
144.76.181.178
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.
[그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면
청년 인턴 보도자료로 위장한 랜섬웨어 주의 (0) | 2020.10.28 |
---|---|
ESRC 주간 Email 위협 통계 (10월 셋째주) (0) | 2020.10.28 |
ZLoader 악성코드, 사업 정지 경고로 위장해 유포중 (0) | 2020.10.21 |
해외 로그인 문자메시지로 위장된 국내 암호화폐 피싱 사이트 주의!! (0) | 2020.10.21 |
ESRC 주간 Email 위협 통계 (10월 둘째주) (0) | 2020.10.21 |
댓글 영역