상세 컨텐츠

본문 제목

ESRC 5월 스미싱 트렌드 보고서

악성코드 분석 리포트

by 알약3 2021. 6. 17. 14:20

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

5월은 4월과 비슷한 수준의 공격이 이루어졌으나 스미싱 키워드별 비율은 소폭 변동이 있었습니다. 4월에 이어 5월에도 택배 스미싱 공격은 소폭 감소했으며 건강검진과 암호화폐 관련 스미싱 공격이 증가했습니다

5월 스미싱 트렌드를 살펴보겠습니다

 

 

5월 스미싱 트렌드

 


ESRC에서 수집 한 5월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

5월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드 SMS 내용
택배 택배 도착 등의 문구로 구성
건강검진 건강 검진 결과 등의 문구로 구성
금융 대출과 연관된 문구로 구성
암호화폐 암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

 

그림을 살펴보면 스미싱 공격의 대부분이 여전히 택배 스미싱에 집중되어 있습니다. 택배 스미싱이 전체 스미싱 공격의 92.37%를 차지하고 있습니다. 

이어서 건강 검진 관련 스미싱 문자가 6.68%를 차지하고 있으며 나머지 스미싱 문자의 발견 비율은 0.87% 정도입니다.

다음 그림은 발견된 스미싱 문자의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다.

가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배 발견비율
본점에서 주문하신 상품은 발송되었으니 살펴봐 주세요 hxxps://tinyurl[.]com/xxxxxx   24%
우체국물류 반송처리중 주소지 확인부탁드립니다 hxxps://tinyurl[.]com/xxxxxx   19%
화물 배송 세부 정보를 보려면 클-릭하십시오 hxxps://tinyurl[.]com/xxxxxx   10%
고객님 상점에 결제하신물품 배송햇습니다 확인부탁합니다.hxxp://shorturl[.]at/xxxxxx   6.8%
상점물품 배송했습니다 확인부탁합니다 hxxps://tinyurl[.]com/xxxxxx   5%
우체국화물 반송처리중 주소지 확인부탁.드립니다 hxxps://tinyurl[.]com/xxxxxx   4%
배송 업체에서 배송을 준비했으며 오늘 14:48에 배송 될 예정입니다 자세히보기 hxxps://tinyurl[.]com/xxxxxx   3.5%
지정된 장소에 택배가 배달되었으니 추출하시길 바랍니다 hxxps://tinyurl[.]com/xxxxxx   2.9%
당신의 택배는 우송하였으니 즉시 수령하시기 바랍니다 hxxps://tinyurl[.]com/xxxxxx   2.5%
구매 한 선물은 우체국택배 배송되었으며 배송 시간은 다음과 같습니다. hxxps://tinyurl[.]com/xxxxxx   1.7%

[표 2] 택배 스미싱

 

 

표를 살펴보면 공격자들은 문장을 새로 만들어 배포하거나 일부 단어의 교체나 생략을 통해 다양한 문장을 만들어 배포하고 있음을 알 수 있습니다. 

다음은 건강 검진 스미싱 문자를 살펴보겠습니다.

 

 

건강검진 발견비율
<국민건강검진>통지서 검사내용 xx.xxxx[.]mobi     43%
[Web발신]국민 건 강 검 진 통지서 자세한 내용확 인하세요:x.xxxxxx[.]site     22.5%
[Web발신]한국의료재단 IFC종합검진센터 내용보기:xxx.xxxx[.]ren   12.6%
[Web발신]<국 민 건 강 검 진>통*지*서 진단내용:xxxx.xxxx[.]club     9%
[Web발신] 한국의료재단 IFC종합검진센터 검진내용확인:xxx.xxxx.xxxx[.]live     5.8%

[표 3] 건강 검진 스미싱

 

 

건강 검진 관련 스미싱 공격이 4월에 비해 소폭 증가했습니다. 문구 내의 일부 단어를 바꿔 유포하고 있으나 내용은 대동소이합니다. 


건강 검진 관련 스미싱은 매년 국가에서 무료로 시행하는 건강 검진과 관련된 것으로 위장하여 피해자를 속이고 악성 앱 설치를 유도합니다.

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

 

금융 발견비율
[Web발신](광고) 당일대출연금리 2-4.8%홈페이지 상담xxx.xxx.xxx[.]196/shbakss664무료거부 0808710000    9.7%
[Web발신](광고) *2021년 05월에 시행하는 "정부"의 "신용보증" 재단을 통한 무이자 대출 신청 대상 및 접수 안내드립니다.《상품 특징》˝ 진행 절차가 간소화 되고 상환 유예, 이자 유예, 금리 감면, 만기 연장 혜택이 적용되는 상품입니다.※ 한정된 자금 소진 시 조기 종료될 수 있습니다.《지원 안내》˝ 접수 대상: 만 20세 이상 누구나.(직군 무관)˝ 제외 대상: 3개월 이내 연체(신용불량자 포함) 신청 불가.˝ 접수 기관: 신한은행[21. 4. 20(화)부터]˝ 지원 내용: 대환, 생계, 운영, 전·월세, 창업 등.■ 중도상환수수료 및 기타 취급 수수료 : 면제.(정부지원)■ 이미 휴업, 폐업한 자영업자 및 소상공인, 무급휴급 대상자 신청 가능.《지원 한도》˝ 지원 한도: 최소 1천만 원 ~ 최대 2억 원.˝ 적용 금리: 연 1.63% ~ 4.28% 이내.˝ 상환 방법: 만기 일시상환, 원리금 균등, 원금균등.(선택)˝ 일시 상환: 1년.(최장 10년 이내 연장 가능).˝ 균등 상환: 5년.(거치 1년, 상환 4년).˝ 한도 및 금리는 당사 심사 기준에 따라 차등 적용.˝ 상품설명서 및 약관을 반드시 확인하시고, 해당 상품에 대한 충분한 설명을 받을 권리가 있음으로 상담사의 설명을 충분히 이해한 후 거래하시기 바랍니다.《상담 문의》02-466-265902-466-2659√접수 신청: 1번 (전화 후 1번, 상담 예약 완료)√상담 시간: 평일 09:00 ~ 16:00 (토요일 및 공휴일은 상담이 불가합니다.)《모바일 간편신청》hxxps://vo[.]la/xxxxhxxps://vo[.]la/xxxx※ 모바일 신청은 홈페이지에 접속후 상담신청 접수를 해주시면 빠른 진행이 가능 합니다..무료거부 0808710000  9.6%
[Web발신] (광고) OO은행 정부지원 OO은행안내 "다가오는 행운으로,건강과 웃음으로,행복하시길 기원합니다." 2021년 새롭게 시작하는 자금플랜을 전문적인 상담해드릴 예정입니다. 본 상품은 정부에서 지원하는 신한저축은행 상품 (서민,소상공인 일반계층지원혜택) 아래사항을 참고하시어 많은 참여로 혜택을 받아보시기 바랍니다. 「상품안내」 · 은행, 보증기관이 협약을 맺고 서민고객을 지원하는 신한저축은행 정부지원상품. 「상품요약」 · 통합대환 최대한도까지 · 긴급생계지원 최대 500만원~1억 · 쉽고 편리한 생활안정자금 대출 · 통신정보를 활용한 신개념 대출 · 자율 상환 및 만기일시 택1(원금균등/원리금균등분할상환가능) ?거치기간 3개월 적용 가능하며, 기간 연장은 최장 10년까지 모두 연장 가능합니다. 「자격조건」 · 소득과 연령 기준 무관 · 타기관 기대출 보유고객 · 신용평가 (CB기준) 8등급 이내 · 직장인,사업자,주부,일용직,프리랜서(무급휴급,연금대상 고객포함) · 재직기간 제한 또한 증빙서류 무관 「접수상담」 링크 클릭 hxxps://bit[.]ly/xxxxxx -접속 후 한도조회 신청- 무료거부0801560064 6.4%  
OOO xxx.xx.xx[.]135/kebttL17/  6.4%
-OO은행- -세상을 바꾸는 금융. 「OOOO- 고객님께 5월 정책자금 특별보충 대출시행 관련 지원대상 안내 드립니다. 「상품안내」 ㆍ상품개요: 민간금융기관 활용이 어려운 대상에게 정책자금을 지원발아 특별지원 저금리 대줄 지원 「지원상품」 ㆍ지원대상: 코로나 19 피해계층 대상(저소득-저신용 서민 소상공인 등) ㆍ보증: 무보증(신용보증재단 100% / 보증료 1년 전액면제) ㆍ지원내용: 대환자금 / 생계자금 / 경영-고용안정가자금 등 ㆍ대줄한도: 최대 2억원 이내(내부 심사기준 적용) ㆍ통합자동통장(마이너스): 최대 1억원 이내(0106.08 신용평가 기준적용) ㆍ대출금리(고정): 연 193% ~4.96%(정잭자금 기준금리) ㆍ대출기간: 종 5년(2년 거치 3년 원리금균등상환) ㆍ종합자동통장대상: 1년(최장 10년 연장 만기일시상환) ※ 대줄한도는 신용평가 기준에 따라 차등적용 될수 있습니다. 「유의사항 및 기타」 ㆍ(코로나19)로 인한 휴ㆍ폐업 소상공인, 무급휴급등 신청대상에 포함됩니다. ㆍ임대업,사행성 등(체납,연체진행중,신용불량 대상 포함) 대줄 이용이 불가능합니다. ㆍ대출 이용 중 또는 중도상환 시 고객이 부담해야 하는 비용은 발생되지 않습니다. 「접수기간」 ㆍ신청기간: 2021년 5월3일(시행) ~ 정부 정잭자금 예산 소진시 ㆍ신청(예약)접수: 평일 09:00 ~ 16:00마지 ※주말, 공휴일 제외 ㆍ신정서류: 구비서류 등에 대한 자세한 사항은 개별 안내 ㆍ대줄 신렁인에 따라 구비서류가 다를수 있습니다. 「신청접수」 ㆍ홈페이지:hxxps://bit[.]ly/xxxxxxxx ㆍ홈페이지 클릭후 바로신정 ㆍ상담시간: 평일 09:00 ~ 18:00(토요일 및 공휴일은 상담이 불가 합니다.) ㆍ동시간 상담이 많을 경우 상담원 연결이 지연될 수 있으니 양해 부탁드립니다. -OO국민- 무료거부0801560064  3.2%

[표 4] 금융 기관 사칭 스미싱

 

 

위 표를 살펴보면 금융기관을 사칭하는 스미싱 문자의 내용이 이전보다 구체적이며 정교하게 변화한 것을 볼 수 있습니다. 실제 은행이나 금융기관에서 사용할 법한 문자를 토대로 제작된 것이라 피해자도 쉽게 속을 수 있겠습니다.

 

정교하게 꾸며진 문자라 언뜻 보면 스미싱임을 알 수 없으나 IP나 URL을 클릭 후 설치된 앱을 실행해 보면 대출 관련 내용으로 꾸며진 가짜 금융기관 앱이 실행됩니다.

 

금융 기관 사칭 스미싱 문자를 받은 피해자가 때마침 대출을 고려하고 있다면 피해를 입을 가능성이 클 것입니다. 

다음은 암호화폐 거래소 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

암호화폐 발견비율
[Web발신][OOO 로그인 알림]고객님계정이해외IP-xxx.xxx.xxx[.]162에서 로그인되였습니다.본인이아닐경우에는 해외IP차단해주세요.최근 개인정보 유출로인한 해킹사례가 많으니 OOO은 해킹방지를위해 해외IP차단서비스를신청하시기바랍니다.OOO은 안전하고 건강한 시장 조성을위해 다방면으로 노력하고 있습니다.www.xxxxxxxx[.]net  72%
[Web발신] [OOOOOOO] 고객님계정이 IP-xxx.xxx.xxx[.]188에서 로그인되었습니다.본인이아닐경우에는 IP차단해주세요.  15.6%

[표 5] 암호화폐 거래소 사칭 스미싱

 

 

4월 이후 암호화폐를 활용한 공격이 증가 추세에 있습니다. 암호화폐 스미싱 문자의 목적은 특정 암호화폐 거래소의 계정 탈취입니다.

 

 

[그림3] 암호화폐 거래소 계정 탈취 페이지

 

 

스미싱 문자 내의 URL 클릭 시 위 그림과 같은 페이지로 이동하게 되며 해외 IP의 접근이 있었다는 거짓 정보를 피해자에게 전달하여 로그인을 유도합니다. 

 

다른 스미싱 공격과 달리 악성 앱을 통한 공격은 없지만 피해자의 계정이 탈취 당할 경우 금전적인 피해를 입을 수 있기에 각별한 주의가 필요합니다.

 

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 4] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 5] 스미싱 악성 앱 탐지 화면

 

 

 

관련글 더보기

댓글 영역