상세 컨텐츠

본문 제목

Kotra를 가장한 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 7. 29. 10:56

본문


안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

Kotra가 주최하는 신규 기업 소개를 위장한 피싱 메일이 유포되고 있어 기업 사용자들의 주의가 필요합니다. 

이번에 유포되고 있는 악성 메일은 '[buyKOREA] 검토 진행 의뢰' 라는 메일 제목과 함께 국내 기업을 해외에 소개한다는 내용이 포함되어 있습니다. 


실제로 Kotra에서 보낸 이메일처럼 위장하고 있지만, 발신자 주소가 admin@windowmaintenance.co.uk로 공식 계정이 아닌것을 알 수 있습니다. Kotra의 공식 계정은 *****.kotra.or.kr 계정입니다.

 

 

[그림 1] Kotra buyKOREA를 위장한 피싱 메일

 

 

buyKOREA는 KOTRA(코트라)에서 주관하는 BTB 사이트로 많은 기업들이 아이템 발굴 및 바이어 발굴, 홍보 및 마케팅 등에 이용하고 있습니다. 

 

악성 메일에는 악성 링크가 포함되어 있으며, 해당 링크를 클릭하면 buyKOREA 사이트를 위장한 피싱 사이트로 접속되게 됩니다. 

 

 

[그림 2] buyKOREA 피싱 사이트



피싱 사이트에 접속하면  ID란에는 수신자의 이메일이 자동으로 입력되어 있으며, 비밀번호를 입력하도록 유도합니다. 

사용자가 계정 정보를 입력하면 입력한 계정정보 탈취 후 실제 buyKOREA로 리디렉션 됩니다. 그렇기 때문에 사용자 입장에서는 자신의 계정정보가 탈취되었다는 사실을 인지하기 어렵습니다. 

 

 

개인정보 피싱 및 수집사이트 상세정보

- 피싱 및 수집 사이트
https://safedrivecall[.]com/buykorea[.]org/inry/file/login/new/inquiry/welcome/buykorea[.]php?

- 피싱 서버 ip
103.205.143.34

 

 

[그림 3] 실제 butKOREA 로그인 페이지

 


피싱 사이트는 실제 사이트와 매우 유사하게 만들어 지기 때문에 디자인만으로는 구별하기 힘듭니다. 

따라서 이메일을 수신하였을 경우, 반드시 발신자 이메일 주소와 도메인을 확인하는 습관을 길러야 합니다. 

 

현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

 

 

 

 

관련글 더보기

댓글 영역