안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
작년에 이어 올해도 코로나19가 여전한 채로 1월을 맞이했습니다. 코로나의 영향으로 1월도 폭발적인 택배 수요로 스미싱 공격 또한 택배 관련 스미싱이 대다수였습니다.
1월 스미싱 트렌드
ESRC에서 수집 한 1월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.
1월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착 등의 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
금융 | 대출과 연관된 문구로 구성 |
수사기관 | 수사 기관을 사칭 |
청첩장 | 결혼 초대장 형식으로 구성 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.
그림을 살펴보면 지난 12월과 마찬가지로 1월 한 달간 이루어진 스미싱 공격의 대부분은 택배 스미싱에 집중되어 있음을 알 수 있습니다. 택배 스미싱이 전체의 99.7%를 차지하고 있습니다.
이어서 건강 검진 관련 스미싱 문자가 0.11%를 차지하고 있으며 나머지 스미싱 문자의 발견 비율은 0.13% 정도입니다.
다음 그림은 발견된 스미싱 문자의 화면입니다.
각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다.
가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.
택배 | 발견비율 |
구매하신 선물은 CJ 익스프레스로 배송됩니다 배송 시간은 다음과 같습니다 hxxps://shorturl[.]at/xxxxx | 42% |
상·품·이 출고되었으며 2021 년 1 월 5 일 17:30에 배송·됩·니다 hxxps://tinyurl[.]com/xxxxx | 14% |
구매 한 상품은 CJ 익스프레스에서 배송하며 배송 시간은 다음과 같습니다 tinyurl[.]com/xxxxx | 13% |
구매하신 선물은 CJ 익스프레스에서 보내 드리며 배송 시간은 다음과 같습니다 tinyurl[.]com/xxxxx | 9% |
구.매하신 선물은 CJ 대한 통운에서 발송 한 것으로 구체적인 배송 시간은 다음과 같습니다 hxxps://tinyurl[.]com/xxxxx | 3% |
구매 한 상·품이 배·송되었습니다. 배송 사번호 72**62 확인해주·세요 hxxps://tinyurl[.]com/xxxxx | 3% |
상품이 배포되었으며 2021 년 1 월 7 일 15:00에 배송됩니다. shorturl[.]at/xxxxx | 2% |
대.리 결.제 상.품이 배송되었습니다 상품을 받으려면 아래 URL을 클릭.하.세.요 hxxp://shorturl[.]at/x | 1% |
택·배 번호 62****75는1월7일 16:30에 지정된 장소로 배송 될 예·정·입·니·다 shorturl[.]at/xxxxx | 1% |
봄 축제 선물이 준비되었으며 1 월 9 일 오후 15시 30 분에 배송됩니다. hxxps://tinyurl[.]com/xxxxx | 0.7% |
[표 2] 택배 스미싱
표를 살펴보면 공격자들이 스미싱 문구 내용의 일부만 변경하여 지속적으로 유포하고 있음을 알 수 있습니다.
1월 들어 택배 스미싱 문자들의 내용은 구매한 상품 등을 주요 키워드로 하고 있습니다.
표를 살펴보시면 문자 내용이 다소 어색하다는 것을 알 수 있습니다. 그리고 문자의 마지막에 단축 URL 등이 존재합니다. 따라서 수신한 문자를 조금만 유의하여 살핀다면 쉽게 스미싱 문자임을 알아차릴 수 있습니다.
다음은 건강 검진 스미싱 문자를 살펴보겠습니다.
건강검진 | 발견비율 |
[Web발신] 국 민 건 강 통 지. 내 용 확인 해주세요~ bitly[.]kr/xxxxxxxx | 10% |
[Web발신] [국민건강검진]보고서 내용 xxxxx.xxxx[.]buzz | 8% |
[Web발신] 국민 건강 검진 통지서 입 니 다. 자세 한 내용 을 확인 hxxps://bit[.]ly/xxxxx | 8% |
[Web발신]건강검진{고`지`서} 내용: hxxps://clck[.]ru/xxxxx | 8% |
[Web발신]건강검진 2021년 (종합) 검사내용(1) (보고서): hxxps://clck[.]ru/xxxxx | 6% |
[국민건강검진]보고서 내용 통지서:xxxxxx.xxxx[.]guru | 5% |
건강검진 (보 고) 내용: hxxps://clck[.]ru/xxxxx | 5% |
[Web발신]--[국민건강검진]--1월 {병력서} 내용: hxxps://chl[.]li/DYUaV | 5% |
[국 민 건 강 검 진]통지 내용보기:xx.xxxx[.]today | 5% |
[건강검진] 발송 완료'(통지서)' 내용 hxxps://url[.]vet/xxxxx | 3% |
[표 3] 건강 검진 스미싱
건강 검진 관련 스미싱 문자들의 내용은 대동소이합니다. 건강 검진 관련 스미싱은 매년 국가에서 무료로 시행하는 건강 검진과 관련된 것으로 위장하여 피해자를 속이고 악성 앱 설치를 유도합니다.
다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
금융 | 발견비율 |
OOO hxxp://154.xxx.xxx[.]xxx/kbcapta10/ | 7% |
OO OOO대리 [OO저축은행- 대환대출 간편대출신청] 안드로이드 전용 고객명 : OOO 고유번호 : L984725 본인인증 PIN : 36.xxx.xxx[.]xxx 담당자 : OOO 신청금액 : 2,000만원 ① 상단의 본인인증 PIN 클릭 또는 하단 미리보기 클릭 ②[한도조회]클릭하여 앱 다운로드및 설치 ③'간편대출' 터치 후 신청서 작성 ④신청후 담당자한테 확인 *최종 승인 전까지 신청/진행내용 확인이 필요합니다. *최종승인 과정에서 지급전에 전자서명계약서 작성 및 본인확인인증을 해주셔야하기때문에 삭제하시면 안됩니다. 다른 곳이랑 동시에 진행하셔도 부결에 원인이니 진행하시면 안됩니다. *접수후 가승인 한도결과는 접수량에 따라 30분~1시간 소요되십니다. | 5% |
OOO 36.xxx.xxx[.]xxx | 5% |
저축은행 [web발신] [OOO저축은행 모바일웹 전자서명동의시스템] 아래의 이미지를 클릭하여 신청해주시기바랍니다. 61.xxx.xxx[.]xxx 하단에 다운 및 설치 - 한도조희 접속후 빈공란 작성하셔서 해주시면됩니다. 감사합니다. | 5% |
행복한 하루되세요. (본인인증&대출신청) hxxp://61.xxx.xxx[.]xxx | 2.7% |
[표 4] 금융 기관 사칭 스미싱
금융기관을 사칭하는 스미싱들 중 피해자의 이름과 IP 만으로 구성된 스미싱 문자가 있습니다. 언뜻 보면 스미싱임을 알 수 없으나 IP를 클릭 후 설치된 앱을 실행해 보면 대출 관련 내용으로 꾸며진 가짜 금융기관 앱이 실행됩니다.
금융 기관 사칭 스미싱 문자를 받은 피해자가 때마침 대출을 고려하고 있다면 피해를 입을 가능성이 클 것입니다.
다음은 수사기관 사칭 스미싱 문자를 살펴보도록 하겠습니다.
수사기관 | 발견비율 |
[Web발신][경찰청교통민원24]1월27일교통법규 위반사실 통지 및 과태료부과 (사전통지서): xxxxx.xxxxx[.]net | 37% |
[경찰청교통민원24]교통법규 위반사실 통지 및 과태료부과 사전통지서: bit[.]ly/xxxxxx | 20% |
[Web발신][경찰청교통민원24]2021년1월25일 교통법규위반.사실확인 통지서(내용보기): xxxx.xxxxx[.]me | 12% |
[Web발신] 사 건처리 통지입니다 .상세내용 확인해주세요 hxxps://bit[.]ly/xxxxxx | 8% |
[Web발신] 사건 처리결과 통보 .내용확인 bit[.]ly/xxxxx | 8% |
[표 5] 수사기관 사칭 스미싱
문자를 살펴보면 교통위반 범칙금 내용을 통보하는 것으로 가장하고 있지만 하단의 단축 URL이 스미싱임을 알려주고 있습니다. 운전을 하시는 분이라면 자신도 모르는 신호나 과속 등으로 교통 법규를 위반했을 수도 있다는 생각에 확인을 할 수도 있습니다.
이런 교묘한 유인책은 의외로 쉽게 통할 수 있기에 주의 하여야겠습니다. 이런 문자를 받으시면 문자로 확인을 하시기 보다 교통 범칙금을 조회하는 경찰청 교통 민원 사이트를 통해 확인하시길 바랍니다.
마지막으로 청첩장 스미싱 문자를 살펴보도록 하겠습니다.
청첩장 | 발견비율 |
[Web발신] ♡귀한 발걸음으로 축복해 주세요. ♡ 2018.6.23 hxxps://bit[.]ly/xxxxx | 30% |
[표 5] 청첩장 스미싱
청첩장 스미싱의 경우 날짜가 몇 해 전인 것으로 미루어 청첩장 스미싱에 감염된 스마트폰에서 자동 발송된 것으로 보입니다.
탈륨 조직, 코로나19 관련 소상공인 지원 종합안내로 위장한 HWP 공격 (0) | 2021.02.17 |
---|---|
ESRC 주간 Email 위협 통계 (2월 둘째주) (0) | 2021.02.16 |
ESRC 주간 Email 위협 통계 (2월 첫째주) (0) | 2021.02.09 |
탈륨 조직, 북한 제8차 당대회 평가내용 문서로 사이버 공격 감행 (0) | 2021.02.08 |
모스(Morse)코드를 이용한 난독화 피싱 공격 주의!! (0) | 2021.02.08 |
댓글 영역