포스팅 내용

악성코드 분석 리포트

국내 유명 포털사이트 계정을 노리는 견적서 피싱메일 주의!!


안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 유명 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱메일들이 발견되고 있어 사용자의 주의가 필요합니다.


이번에 발견된 메일은 “RE: POSCO.CO.,LTD” 라는 제목으로 수신되었으며 주문한 신제품에 대한 견적을 첨부된 파일을 통해 확인하라는 내용으로 사용자의 클릭을 유도하여 사용자의 포털사이트 계정을 탈취하기 위한 목적으로 발송되었습니다.


[그림1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면



사용자가 신제품 견적을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우, 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.


[그림2] 브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면



사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 실제 견적서처럼 보이는 파일을 구글 드라이브를 통해 사용자에게 보여줍니다.


[그림3] 사용자를 속이기 위해 연결된 견적서 파일 화면



또한 이번에 제작된 피싱 페이지는 실제 포털 로그인 페이지와 매우 흡사하기 때문에 사용자가 쉽게 현혹되어 개인 정보를 입력할 수 있으니 주의해야 합니다.


[그림4] 정상 포털사이트 로그인 페이지와 비교 화면


전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.


개인 정보 피싱 및 수집 사이트 상세 정보

- 개인 정보 수집 사이트

https://hongkmalls.info/naver-estimate.php


- 개인정보 전달 서버 IP

144.76.181.178

 


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면




티스토리 방명록 작성
name password homepage