상세 컨텐츠

본문 제목

"네이버 인증서"로 위장한 피싱 메일 유포 주의!!

악성코드 분석 리포트

by 알약1 2021. 8. 13. 19:19

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

 

국내 포털사이트의 신규 인증서를 확인하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다.


이번에 발견된 메일은 "[인증서] 새 인증서를 확인해 주세요” 라는 제목이 사용되었으며, 최근 코로나19 예방접종 사전예약 시스템에서 본인인증 방법의 일환으로 네이버 인증서가 사용되기 때문에 이를 노린 사회공학적 기법 피싱 메일입니다.

 

 

[그림1] 국내 포털사이트 인증서 발급관련 피싱메일 화면

 

 

사용자가 인증서를 확인하기 위해 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다.

 

 

[그림2] 사용자의 개인정보를 탈취하기 위한 피싱사이트 화면

 

 

피싱 사이트에 입력한 사용자의 계정 / 패스워드는 아래 공격자 서버로 전달됩니다.

- 개인정보 피싱 및 수집 사이트
hxxp://nidlogin.great-site[.]net/?ref=
hxxp://nidlogin.great-site[.]net/cancel_recover.php
hxxp://nidlogin.great-site[.]net/oab.php

- 개인정보 피싱 서버 IP
185.27.134.55

 

 

이번에 발견된 피싱 사이트는 지난 8월 11일에 확인된 사이트와 동일한 제작자로 확인되었습니다.

 

네이버를 위장하여 '차단한 해외 지역에서 로그인이 시도되었습니다' 제목으로 유포 중인 피싱

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내 포털사이트의 개인정보를 탈취하기 위해 '차단한 해외 지역에서 로그인이 시도되었습니다'라는 제목의 피싱 메일이 유

blog.alyac.co.kr

 

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

[그림3] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

 

 

현재 18~49세 코로나19 예방접종 사전예약 시스템에서는 여러 가지 형태의 본인인증을 사용하고 있습니다.

 

이중 네이버 인증서를 사용하는 것을 파악한 피싱 제작자가 기존 피싱 사이트를 일부 수정하여 배포하기 시작하고, 네이버 인증서뿐만 아니라 코로나19 예방접종과 관련된 피싱 메일은 지속적으로 유포될 것으로 판단되기 때문에 사용자들의 각별한 주의가 요구됩니다.

 

[그림4] 코로나19 예방접종 사이트 본인인증 절차 화면

 

 

 

관련글 더보기

댓글 영역