상세 컨텐츠

본문 제목

ESRC 1월 스미싱 트렌드 보고서

악성코드 분석 리포트

by 알약3 2023. 2. 28. 16:45

본문

 

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 

 

1월은 작년 12월과 달리 택배 키워드를 사용하는 스미싱이 공격을 주도한 것으로 나타났습니다. 


택배를 키워드로 하는 스미싱 공격은 65.8%로 12월 대비 49.44% 증가했습니다. 뒤를 이어 보이스피싱을 유도하는 내용의 스미싱 공격이 13.47%를 차지하고 있으며 12월 대비 3.65% 증가했습니다. 그리고 마지막으로 건강검진을 키워드로 하는 스미싱 공격이 12.44%를 차지하고 있으며 12월 대비 54.23% 감소했습니다.

 

1월의 스미싱 트렌드를 살펴보도록 하겠습니다. 

 

 

1월 스미싱 트렌드

 


ESRC에서 수집 한 1월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.


1월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

 

키워드 SMS 내용
택배 택배 도착, 주소지 오류 등의 문구로 구성
건강검진 건강 검진 결과 등의 문구로 구성
보이스피싱 피해자 전화를 유도하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 

 

다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

[그림 1] 스미싱 키워드 별 비율

 


그림을 살펴보면 대부분의 스미싱 공격이 택배 키워드를 활용하고 있음을 알 수 있습니다.  


공격 비율은 택배 스미싱이 65.8%를 차지하고 있으며 보이스피싱 스미싱 문자가 13.47%, 마지막으로 건강검진 스미싱 공격이 12.44%를 차지하고 있습니다. 


1월은 택배 스미싱 공격이 다시 예전과 같이 활발하게 공격을 수행하고 있는 것으로 나타났습니다. 이는 공격자들이 택배가 증가하는 시기적 특수성을 십분 활용하고 있는 것으로 추측할 수 있겠습니다.

다음 그림은 발견된 스미싱 문자들의 화면입니다.


[그림 2] 스미싱 문자

 


이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 


다음은 택배 스미싱 문자들을 정리한 것입니다.

 

택배  발견비율
[대한통.운] 송장번호(5901******92)”주” 소불일치로 물품.보.관중입니다: bit[.]ly/xxxxxxx 부탁드립니.    23%
[로젠택배]송장번호(5802***********96)주소불일치로물품보관중입니다.hxxps://c11[.]kr/xxxxx     14%
[로젠택.배]. 고객님 물건 배송 실패, 주 소 오류 송달 불가 즉시 수정 바랍니다: xxx.xxxxxxx[.]com/    12%
[CJ대한통운]운송번호[35***17]이배송/반송물품/I/건 확인부탁드립니다▶? hxxps://c11[.]kr/xxxxx    10%
[로젠]운송장번호 [5879**********98]주 소 지미확인반송처리 주 소확인. xxx.xxxxxxx[.]com/ 부탁드립니     6%
[로젠] 고객 당신의 물품이 주소로 배달되지 않음 오류 즉시 위치를 변경하세요. xxx.xxxxxxx[.]com/   4.7%
로젠택배,송장번호(5901*********98):주:소 불 일치/로물품 보관 중.입니다: xxx.xxxxxxx[.]com/    4%
[CJ대한통운]고 객 에게연.락할/수/없.으니배송정:보:확인해/주/세요:[ hxxps://bit[.]ly/xxxxxxx ]   3%
[로젠], 택배 배송 실패 문자로 창고 보관 반송 즉시 배송 주소 수정하세요: xx.xxxxxxx[.]com/    2.3%
[로젠]송장번호(5912**************926)\"주\"소불일치로 물품보관중입니다 hxxps://c11[.]kr/xxxxx  2%

[표 2] 택배 스미싱

 

 

택배 스미싱의 주요 내용은 주소 등이 잘못되어 배송이 안된다는 내용으로 이전의 택배 스미싱들과 대동소이합니다. 스미싱 문자를 처음 받아본다면 충분히 본인의 택배로 오해하여 스미싱 공격에 희생될 수 있습니다.

다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.

 

보이스피싱 발견비율
[국제발신] 해외직구 요청하신 결제금액 569,000원 결제완료 본인아닐시 고객센터신고:032-xxx-xxxx    8.5%
[국외발신][해외직구] 해외인증 58** 합계대금:639,900원 정상처리완료 고객센터:031-xxx-xxxx    8%
[국제발신][결제금액] KRW 978,500원 코드번호 3575 정상처리완료 본인결제 아닐경우 050-xxxx-xxxx   7.7%
[국제발신] OOO님 해외직구 해외인증:85** 700,680원 처리완료 이상거래감지본인아닐시 문의:031 -xxx-xxxx    7.1%
[국제발신] [주 알리익스프레스]해외승인 상품금액:636,600원 본인 아닐시 피해구제센터:031-xxx-xxxx  7%
[국외발신] 고객님 주문하신상품 562,000원 결제완료 배송대기중 이상거래감지 본인구매아닐시 취소요청 전화:xxxx-xxxx   4%
"OOO님 주문하신 에이스 원목침대 [농협은행] 1,267,000원 결제완료 본인아닌경우신고 신고전화:02-xxxx-xxxx    3.9%
[국외발신] (주)알리익스프레스 요청금액:636,600원 구매완료 소비자신고센터:031-xxx-xxxx    3.5%
[국제발신][결제금액] KRW 978,500원 코드번호 3575 정상처리완료 본인물품 아닐경우 고객센터 050-xxxx-xxxx  3%
[국제발신] 고객님 [해외물류구매] 합계대금 932,700원 통관code:[3**8] 고객문의:xxxx-xxxx   2.9%

[표 3] 보이스피싱 유도 스미싱

 


보이스피싱 스미싱은 기존의 스미싱 공격과 달리 악성 앱을 유포하는 url 대신 공격자의 전화번호를 보내어 전화를 유도하는 특징이 있습니다.

 

피해자가 공격자에게 전화를 하게 되면 공격자는 피해자에게 악성 앱 설치를 안내하여 악성 앱을 유포하는 방식입니다.

 

전화 통화를 통해 안내를 받기에 피해자는 url을 포함하는 문자보다 더 쉽게 착각을 일으킬 수 있으며 공격자의 안내에 따라 악성 앱 설치를 진행하게 됩니다.


다음은 건강검진 스미싱 문자들을 정리한 것입니다.

 

건강검진 발견비율
[Web발신][국민건강보험]건강검진 보고서 전송완료.내용확인 hxxp://xxx.xxxx[.]pics   66%
[Web발신][국민건강보험공단]건강검사 (통보서) 전송완료내용확인 hxxp://xxx.xxxx[.]black   8%
[Web발신][국민건강검진]종합건강검진 안내서 발송완료.내용보기[xxxx.xxxx[.]cyou]  5%
[Web발신][한국의료재단]신체전면검사 통보서 발송완료.내용확인[xxx.xxxx[.]show]   4%
[Web발신][국가보험공단]종합신체검사 통보서 전송완료,내용확인:xxx.xxxx[.]media   4%

[표 4] 건강검진 스미싱

 

 

위 표를 살펴보면 건강검진 스미싱의 내용은 보고서 등의 문서를 발송했다는 내용으로 이루어져 있는 것을 알 수 있습니다.

 

따라서 피해자가 건강검진 스미싱 문자를 받게 된다면 건강검진과 관련된 문서를 받은 것으로 오인하여 링크를 클릭하게 되고 건강검진 관련 문서가 아닌 악성 앱을 다운로드하게 됩니다.

 

다운로드한 악성 앱은 피해자의 개인정보 탈취를 목적으로 제작되어 있으며 신분증, 금융 정보 등의 민감한 개인정보 탈취를 시도합니다.

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.

 

 

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지   

 


알약M의 악성 앱 탐지 화면

 

 

[그림 4] 스미싱 악성 앱 탐지 화면

 

 

관련글 더보기

댓글 영역