상세 컨텐츠

본문 제목

네이버 전자문서를 위장하여 유포중인 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2022. 4. 13. 15:38

본문

 


안녕하세요. ESRC(시큐리티 대응센터)입니다.
네이버 전자문서를 위장한 피싱 메일이 지속적으로 유포중에 있어 사용자들의 각별한 주의가 필요합니다. 

며칠 전부터 "[지방세입]회원님께 도착한 고지서를 확인하세요"라는 제목으로 전국(서울 외) 지방세입 고지서가 도착했어요 내용의 전자문서를 위장한 피싱 메일이 대량으로 유포중에 있습니다. 

이 뿐만 아니라 "[국민지원금]대상자 여부 알림" "한국도로공사 통행료 납부 안내문"을 위장한 피싱 메일도 지속적으로 유포되고 있습니다. 

만일 사용자가 피싱 메일에 있는 [확인하기] 혹은 [전자문서 홈으로] 버튼을 클릭하면 네이버 전자문서 페이지를 위장한 피싱 페이지로 이동합니다. 

 

 

[그림 1] 네이버 전자문서 페이지를 위장한 피싱 페이지


해당 페이지에서는 이용자 보호를 위해 본인확인을 진행한다며 계정정보를 요구하는데, 만일 사용자가 계정정보를 입력하면 입력한 계정정보는 공격자의 서버로 전송되고 실제 네이버 전자문서 페이지로 이동합니다. 

 

[그림 2] 공격자에게 전송되는 사용자 계정정보

 

[그림 3] 계정정보 입력 후 이동하는 실제 네이버 전자문서 페이지



피싱 페이지 주소는 보안업체의 탐지를 피하기 위하여 주기적으로 변화하고 있는데, 알파벳 순으로 변화하고 있는 특징이 있습니다. 

 

피싱 페이지

hxxp://navercorpf.000webhostapp[.]com/loginform.php? (4월 12일)
hxxp://navercorpg.000webhostapp[.]com/loginform.php? (4월 13일)


이렇게 유출된 계정정보는 더 정교한 추가 공격을 위한 정보로 사용될 수 있으며, 유출된 계정을 이용하여 추가 피싱 메일을 유포할 수도 있습니다. 

 

피싱 메일의 형태가 점점 정교해 지고 있습니다. 

 

사용자 여러분들께서는 이메일 발신자의 주소를 확인하시고, 방문하시는 웹 사이트의 주소를 확인하시는 습관을 길러야 합니다. 

 

ESRC에서는 지속적으로 네이버를 사칭한 피싱 메일에 대해 주의를 당부하고 있으며, 지속적인 모니터링 중에 있습니다. 

 



 

관련글 더보기

댓글 영역