안녕하세요. ESRC(시큐리티 대응센터)입니다.
최근 한 부품 수출 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱 메일이 유포되고 있어 사용자의 주의가 필요합니다.
이번에 발견된 메일은 “PRD Tech 견적”이라는 제목으로 수신되었으며 사업자 등록증 첨부 파일 확인 후 견적 요청을 보내달라는 내용으로 사용자 클릭을 유도하여 사용자의 포털 사이트 계정을 탈취하기 위한 목적으로 발송되었습니다.
[그림 1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면
첨부 파일에는 '사업자등록증.pdf', '견적 ROQ-283631.PDF.htm', '견적 ROQ-283631.zip'과 같은 파일명이 사용되었고, zip 파일 내 포함되어 있는 'Dongwoo Estimate.htm' 파일은 '견적 ROQ-283631.PDF.htm'과 동일 파일인 것으로 확인됩니다. 사용자가 첨부된 파일을 다운로드 해 실행하면, [그림 3]과 같이 포털 사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.
[그림 2] Zip 압축 파일 내 포함된 파일과 동일한 첨부파일
[그림 3] 브라우저로 동작된 국내 포털 사이트 피싱 페이지 화면
특히, 아래 그림과 같이 첨부 파일에 실제와 흡사한 형태의 사업자 등록증이 포함되어 있어서 사용자 신뢰도를 높여주고 있습니다.
[그림 4] 피싱 메일에 첨부된 가짜 사업자등록증
전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.
* 개인정보 피싱 및 수집 사이트 상세 정보
- 개인정보 수집 사이트
https://hongkmalls[.]info/estimate-pd[.]php
- 개인정보 전달 서버 IP
169.255.59.11
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.
[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면
ESRC 주간 Email 위협 통계 (12월 둘째주) (0) | 2020.12.15 |
---|---|
북한 동향정보, 통일 이야기 공모전 문서 사칭… 北 연계 APT 조직 공격 주의보 (0) | 2020.12.09 |
ESRC 주간 Email 위협 통계 (12월 첫째주) (0) | 2020.12.08 |
ESRC 11월 스미싱 트렌드 보고서 (0) | 2020.12.04 |
'메일함 용량 초과' 경고로 위장한 피싱 메일 유포중! (0) | 2020.12.02 |
댓글 영역