파일 전송 사이트(WeTransfer)로 위장한 피싱 메일 유포 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

최근 파일 전송 사이트인 WeTransfer를 위장해 사용자의 개인정보를 탈취하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다.

 

이번에 발견된 메일은 "afa******@gmail.com sent you some files” 라는 제목을 사용하며 파일 전송 사이트인 WeTransfer로 위장하여 사용자가 파일을 다운로드하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다.

 

[그림 1] WeTransfer 로 위장한 피싱 공격 메일

 

 

사용자가 메일 본문에 기재된  "Get your files" 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다.

 

[그림 2] WeTransfer로 위장한 피싱 사이트 화면

 

[그림 2]의 Download 버튼을 누르면 화면 중앙에 로그인 창이 나타나 패스워드를 입력하도록 유도합니다. 해당 피싱 사이트는 실제 WeTransfer 사이트인 [그림 3]과 거의 흡사합니다

 

[그림 3] 실제 WeTransfer사이트 화면

 

피싱 사이트에 입력한 사용자의 계정 / 패스워드는 아래 공격자 서버로 전달됩니다.

- 개인정보 피싱 및 수집 사이트
hxxps://datzdem[.]com/koregdhjg/WeTransfer/index.php
hxxps://datzdem[.]com/koregdhjg/WeTransfer/bt.php

- 개인정보 피싱 서버 IP
192.185.138.185

 

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

 

[그림 4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면