네이버 스마트스토어를 위장한 피싱 메일 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
첨부파일이 포함된 네이버 스마트스토어를 위장한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 

이번에 발견된 이메일은 '***(수신자 이름) 당신에게 메세지를 보냈습니다'라는 제목으로 유포되고 있습니다.

 

 

[그림 1] 네이버 스마트스토어를 위장한 피싱 메일

 

이번에 발견된 이메일은, 기존의 네이버 피싱들과는 다르게 pdf를 위장한 첨부파일을 포함하고 있습니다. 

사용자가 첨부되어 있는 pdf 파일을 열면, 보안문서라는 문구와 함께 이메일 인증을 요구합니다. 

 

 

[그림 2] 첨부되어 있는 PDF 파일

사용자가 pdf 파일 내 로그인을 클릭하면 피싱 사이트는 사용자 PC를 식별하여 고유의 파라미터값을 추가하여 네이버 로그인 페이지를 위장한 피싱 사이트로  리디렉션 됩니다. 

 

 

[그림3] 네이버 로그인 페이지를 위장한 피싱 사이트

사용자가 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송된 후 실제 네이버 로그인 페이지로 리디렉션 됩니다. 

 

단, 계정정보를 입력할 때 아이디만 입력하는 것이 아니라 이메일 전체 주소를 요구합니다.

 

 

[그림 4] 해커의 서버로 전송되는 계정정보

 

- 피싱 사이트

hxxps://purchaseorder.docuget[.]one/
hxxps://purchaseorder.docuget[.]one/08fdafc9044aba4786c56f056535f280/index.php?파라미터값

198.54.115.118

 

 

이번에 발견된 이메일은 디자인 부분으로나 공격 방식이 다른 네이버 피싱 메일들과 비교하여 많이 미흡하여 사용자들이 피싱 메일이라는 것을 쉽게 인지할 수 있을 것으로 추측됩니다. 

 

하지만 최근 네이버를 위장한 피싱 메일이 증가하고 있으며, 매우 정교하게 제작되었기 때문에 사용자들의 각별한 주의가 요구됩니다. 

 

 

※ 네이버 피싱 메일 관련 포스팅 보기

▶ "네이버 인증서"로 위장한 피싱 메일 유포 주의!!   (2021.08.13)
▶ 네이버를 위장하여 '차단한 해외 지역에서 로그인이 시도되었습니다' 제목으로 유포 중인 피싱 메일 주의!    (2021.08.11)

 

 

이러한 피싱 메일의 경우 계정정보 탈취를 목적으로 하고 있으며, 유출된 계정정보를 이용한 2차 피해가 발생할 수 있어 주의가 필요합니다. 

안전한 계정보호를 위해서 사용하는 웹사이트의  2단계 인증을 활성화 하시고, 각 웹사이트 마다 다른 비밀번호를 사용하시는 것을 권장드립니다. 

현재 알약에서는 해당 피싱 메일 내 PDF파일에 대해 Trojan.PDF.Phish로 탐지중에 있습니다.