텔레그램 API를 사용한 정보 수집 피싱 메일 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

최근 피싱 메일로 수집 한 개인정보를 클라우드 기반 인터넷 메신저인 "텔레그램 API"로 전달하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 메일은 "✉ 배달되지 않은 메일이 7 개 있습니다" 라는 제목을 사용하여 사용자가 지난 메일을 확인하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다.

 

 

[그림 1] 사용자의 개인정보를 탈취하기 위한 피싱 공격 메일

 

 

피싱 메일 본문에는 “시스템 지연으로 인해 발송되지 않은 메일이 7개 있습니다. 수정 사항은 다음과 같습니다” 라는 문구로 사용자의 클릭을 유도하며 링크가 클릭된 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다.

 

 

[그림 2] 사용자 계정 탈취를 위한 피싱 사이트 화면

 

 

피싱 사이트에 입력 한 사용자의 계정 및 패스워드와 접속한 사용자에 대한 추가 정보(IP주소, 국가정보, 도시, 운영체제)가 제작자의 서버로 전달되며, 텔레그램 메신저의 API를 이용하여 제작자가 관리하는 텔레그램으로도 사용자의 개인정보가 전달됩니다.

 

- 개인정보 피싱 및 수집 사이트
hxxps://subsequent-wooden-judge[.]glitch.me
hxxps://newvision[.]ge/kr/fire.php

- 개인정보 피싱 서버 IP
34.224.134.237
185.18.214.157

- 수집되는 추가 정보
IP주소, 도시정보, 운영체제

 

 

제작자의 텔레그램에 전달되는 정보는 아래와 같은 항목으로 messange_id, chat id, text 내용들이 전달됩니다.

 

 

[ 그림 3] 텔레그램 API로 전달되는 개인정보 화면

 

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

 

 

[그림 4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면