상세 컨텐츠

본문 제목

ESRC 8월 스미싱 트렌드 보고서

악성코드 분석 리포트

by 알약3 2021. 10. 8. 17:10

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

8월 스미싱 공격은 코로나 팬데믹을 활용한 건강 관련 스미싱 공격이 증가하는 양상입니다. 스미싱 공격의 대부분은 여전히 택배를 주요 키워드로 하고 있으나 건강검진을 키워드로 하는 스미싱 공격이 대폭 증가하고 있습니다. 공격자들이 코로나 재 확산세 상황을 적절하게 활용하고 있는 것입니다.

8월의 스미싱 트렌드를 살펴보겠습니다.

 

 

8월 스미싱 트렌드

 

 

ESRC에서 수집 한 8월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

8월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드 SMS 내용
택배 택배 도착 등의 문구로 구성
금융 대출과 연관된 문구로 구성
코로나 코로나 이슈와 관련된 문구로 구성
건강검진 건강 검진 결과 등의 문구로 구성
수사기관사칭 수사기관을 사칭하는 문구로 구성
암호화폐 암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성
몸캠 성인 콘텐츠 등을 제공하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

 

[그림 1] 스미싱 키워드 별 비율

 

 

그림을 살펴보면 여전히 스미싱 공격의 대부분이 택배 스미싱에 집중되어 있으나 건강검진 관련 스미싱 공격이 가파르게 증가하고 있음을 알 수 있습니다. 

공격 비율을 살펴보면 택배 스미싱이 전체 스미싱 공격의 63.28%를 차지하고 있으며 이어 건강 검진 관련 스미싱 문자가 20.86%, 코로나 관련 스미싱 문자가 10.61%, 금융 관련 스미싱 문자가 3.57%를 차지하고 있습니다. 나머지 문자의 발견 비율은 1.88% 정도를 차지하고 있습니다.

다음 그림은 발견된 스미싱 문자들의 화면입니다.

 

 

[그림 2] 스미싱 문자

 

 

각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 

 

다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.

 

 

택배 발견비율
[Web발신]상품 거래번호는 틀려서 보낼수 없습니다앱 다운로드 다시 확인해주세요. hxxps://tinyurl[.]com/xxxxxx 51%
[대한통운]고객에게/연락할:수:없으니 배송정보확인해,주세요:[ hxxps://t9y[.]me/xxxx ] 17%
[CJ통운](알림문.자)07/29 배 송 예정물품/주.소확인바랍니다:▷ xx.xxxxxxx[.]top ◁ 11.9%
고객님앞으로도 착한운송장번호[2544_******]CJ택배조회부탁드립니다.[ xx.xxxxxxx[.]info ] 2.5%
[국제발신] 고객님 물품 배송조회는 본링크를 클릭하여 어플리케이션을 이용해주세요 hxxp://xxx.xxx.xxx[.]143/ 1.2%
[CJ대한통]주문하신물품.미밸달도로명불일치 .수정하세요:[ bit[.]ly/xxxxxx ] 1.1%
[국제발신][대한통운]고객님의 상품(6419******93)이 배송되었습니다.▶ xx.xxxxxxx[.]pro 0.8%
고객님 상점에 결제하신물품 배송햇습니다 확인부탁합니다 hxxps://tinyurl[.]com/xxxxxx 0.5%
상품이 배송되었습니다. 자세한 내용을 보려면 아래 URL을 클릭하세요. hxxps://shorturl[.]at/xxxxxx 0.5%
상점물품 배송했습니다 확인부탁합니다 hxxps://tinyurl[.]com/xxxxxx 0.5%

[표 2] 택배 스미싱

 

 

앞서 언급했듯이 택배 스미싱 공격은 감소세에 있읍니다. 그러나 스미싱 문자 내용은 지속적으로 수정되어 이전 택배 스미싱과는 다른 것을 알 수 있습니다.

다음은 건강 검진 스미싱 문자를 살펴보겠습니다.

 

 

건강검진 발견비율
[Web발신][건강관리협회]건강검진 내용보기:xxx.xxxx[.]press 68%
[Web발신]<국가건강검진>종합검진 내용보기:xxx.xxxx[.]market 13.6%
[Web발신](국가건강검진)진찰결과내용 상세보기:xxx.xxxx[.]tech 4.2%
[Web발신] <건☆강☆관☆리>종합검진 내용보기:xxx.xxxx[.]press 3.4%
[Web발신][건★강★보★험★공★단]종합검진 내용보기:xxx.xxxx[.]life 2.1%
[국민건강] 건강검진 진단 결과 보고서 전송 완료.. {본인인증 필요}.hxxps://tinyurl[.]com/xxxxxx 1.7%
[국민건강검진] 신체검사 내용 전송 완료 결과를 조회하세요. hxxps://vki[.]kr/xxxxx[M1] 1.7%
[Web발신] [건강관리협회]건강검진통지내용:xxx.xxxx[.]fund 0.8%
<국민건강검진>통지서 검사내용확인:xx.xxxx[.]life 0.8%
종 합건강검진(통 지서 자 세내용) 보기: hxxps://kr[.]pe/xxx 0.4%

[표 3] 건강 검진 스미싱

 

 

건강 검진 관련 스미싱 공격은 코로나의 확산세를 이용하여 최근 공격 횟수가 증가하고 있습니다. 

다음은 코로나 이슈를 활용하고 있는 스미싱 문자들을 살펴보겠습니다.

 

 

코로나 발견비율
[Web발신][질병관리청]코로나19 디지털 예방접종증명서의 발급 및 저장 본인확인 hxxps://ya[.]mba/xxx 44%
[Web발신][질병관리청COOV]코로나19 백신 예약 확인요청 hxxps://ko[.]gl/xxxx 24%
[질병관리청]안녕하세요..코로나19 백신 예약 인증 본인확인 hxxps://ko[.]gl/xxxx 16.8%
[Web발신][질병관리청]코로나19 전자예방접종증명서 본인확인 hxxps://ko[.]gl/xxxx 10%
[Web발신][코로나19예약시스템]코로나19 디지털예방접종증명서의발급 및저장 본인확인 hxxps://ko[.]gl/xxxx 2.5%

[표 4] 코로나 스미싱

 

 

코로나 관련 스미싱도 건강 검진 관련 스미싱과 마찬가지로 코로나 확산 국면을 이용하여 증가하고 있습니다.

다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.

 

 

금융 발견비율
[국제발신] 고객님 지금통화중인 이정현입니다 여기서 확인해보세요 hxxp://111.xxx.xx[.]xxx 60%
[국제발신] hxxp://111.xxx.xx[.]xx/pay.apk 10%
<카카오뱅크 모바일 신청서> 고객님 고유코드로 발급된 모바일 신청서 입니다. hxxp://103.xx.xx[.]xx/kaoHg50/app5/kakaoBank.apk ① 해당 주소링크 클릭 ② 다운로드 완료 ③ 출처허용 이후 설치 및 열기 ④ 상담신청서 작성후 "신청하기" 클릭하시면 완료 ** 접수완료시 가조회 결과 확인후 연락드리겠습니다.* 5%
<카카오뱅크모바일상담신청서> 고객님 고유 보안코드로 발급된 모바일신청서입니다. hxxp://103.xx.xx[.]xx/kaoHg50/app5/kakaoBank.apk ① 해당 주소링크 클릭 ② 설치 및 열기7 ③ 기재 내용 작성 ④ "신청버튼" 클릭 완료 2.5%
[Web발신](광고)신한은행 정부지원서민금융안심"고귀한 당신의 하루, 오늘도 밝게 빛나는 하루가 되길 바랍니다."본 상품은 4월 정부지원서민금융안심 상품을 통해서 고금리 과다대출로 부담되는 월이자 납입금액을 줄이고 채무통합으로 신용등급 상승까지 가능한 정부지원서민금융안심 대출 상품을 안내합니다,[지원안내]*담보:무보증(정부 보증지원)*지원상품:대환자금, 긴급(생계)자금, 사업(창업)자금, 전세자금*지원기간:2021년 4월 30일까지[ 상품특징 ]-최저연금리로 부담을 가볍게, 최대한도까지 확실하게 지원합니다.[ 요약사항 ]대상- 만 19세 이상한도- 최저 5백만원~최대 2억원 (당행 산정에 의거 산출함)금리- 최저1.6%~6.9%상환- 원리금 균등분할상환,만기일시상환기간- 1년~10년(연장가능)[ 신청대상자 ]· 성인이라면 누구나 가능(신용불량자 제외)· 직장인, 개인 사업자, 프리랜서, 주부, 대학생· 무직자 (상담원과 자세한 상담진행)※ 2021년 4월 이전 기존 정부지원대출을 받아 이용하고 계신 고객들도이번 대상에 포함되오니 부담없이 신청 가능합니다.[접수방법]대출신청은 자사 홈페이지를 통해서 상담 및 대출신청을 하실 수 있습니다.hxxps://bit[.]ly/xxxxxxxxx홈페이지 접속 후 "바로신청하기" 눌러주세요.평일 오전 9시 ~ 오후 6시 (공,휴무일 제외)즐거움과 행복 그리고 희망을 나누는 금융이 되어 드리겠습니다. 감사합니다.무료거부 0801312400 2.5%

[표 5] 금융 기관 사칭 스미싱

 

 

금융기관을 사칭하는 스미싱 공격의 특징은 사칭하는 금융기관이 지속적으로 변경되며 문자의 내용 또한 주기적으로 변경한다는 점입니다. 


최근의 금융기관 사칭 스미싱 문자의 내용들이 정교해지고 있습니다. 금융기관 사칭 스미싱의 내용을 살펴보면 실제 금융기관이 보내는 문자라 착각될 정도로 금융기관이 발송하는 광고 문자와 비슷한 구성을 가지고 있습니다.

수사기관 사칭, 암호화폐, 몸캠 스미싱들은 발견되는 건수는 작지만 꾸준히 나오고 있습니다. 차례대로 살펴보도록 하겠습니다.

다음은 수사기관 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

수사기관 사칭 발견비율
[Web발신]**교통민원24(이파인)** 면허증 도로 벌점 과태료 통지 본인확인 hxxs://ya[.]mba/xxx 100%

[표 6] 수사기관 사칭 스미싱

 

 

다음은 암호화폐 거래소 사칭 스미싱 문자를 살펴보도록 하겠습니다.

 

 

암호화폐 발견비율
[OOOOOOO 로그인알림] 고객님계정이 *IP-xxx.xxx.xxx[.]168*에서 로그인되었습니다.본인이않인경우에는 IP지정서비스신청후 사용해주세요. 최근 해킹피해사례가 많으니 코인원은 IP지정서비스를신청하시기바랍니다. OOO은 안전하고 건강한 시장 조성을위해 다방면으로 노력하고 있습니다. www.xxxxxx[.]com 100%

[표 7] 암호화폐 거래소 사칭 스미싱

 

 

다음은 몸캠 스미싱 문자를 살펴보도록 하겠습니다.

 

 

몸캠 발견비율
OOO hxxp://xxx.xxx.xx[.]225:8080/1.apk 이거 영섹방 다운 주소예요 복사해서 브라우저에 붙여 놓으면 자동으로 다운되닉간 설치하고 앱들어와서 권한 허용 다하고 6번방으로 들어와주세용 ~ 50%

[표 8] 몸캠 스미싱

 

 

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면

 

 

 

관련글 더보기

댓글 영역