상세 컨텐츠

본문 제목

재산세 고지서로 계정정보 탈취를 시도하는 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2023. 5. 26. 14:20

본문

 

안녕하세요?

이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

네이버 전자문서를 가장한 재산세(지방세) 고지서로 사용자의 계정정보를 탈취하는 피싱 메일이 대규모로 유포되고 있어 사용자 분들의 세심한 주의가 필요합니다.

 

이번 공격은 지난 월요일(5/22)부터 시작된 것으로 파악되며, "[지방세입]회원님께 재산세 관련 고지서가 도착했어요"라는 제목으로 유포중에 있습니다. 

 

본문은 실제 네이버 전자문서 양식과 매우 유사하게 제작하여 수신자의 클릭을 유도합니다. 

 

만일 수신자가 피싱메일 하단의 [확인하러 가기]를 클릭하면 네이버 전자문서 피싱 페이지에 접속되며, 아이디와 비밀번호 입력을 유도합니다. 

 

[그림 1] 버튼 클릭 시 이동하는 피싱 페이지

 

수신자가 계정정보를 입력하고 [로그인] 버튼을 클릭 시, 입력한 계정정보는 공격자의 서버로 전송되게 됩니다.

 

[그림 2] 공격자 서버로 전송되는 사용자 계정정보

 

해당 피싱 페이지는 매우 정교하게 제작되어 있으며, 실제 네이버 페이지와 매우 유사하게 동작합니다.

 

[그림 3] 피싱 페이지 메인

 

[그림 4] 피싱 페이지 내 회원가입 페이지

 

 

검색 창에서 검색을 하면 결과값도 보여주기 때문에 사용자들은 피싱 페이지라고 인지하기 매우 어렵습니다. 

이러한 피싱 페이지와 관련해서 이스트시큐리티에서는 이미 블로그를 통하여 주의를 당부한 적 있습니다.

실제 포탈 사이트와 유사하게 동작하는 피싱 페이지 주의!

 

 

[그림 5] 피싱 네이버 페이지(좌) 및 정상 네이버 페이지(우)

 

공격자들의 공격이 날로 정교해 지고 있습니다.

 

만약 계정정보를 입력해 로그인을 시도하였다면, 추가 피해를 방지하기 위해 동일한 계정정보의 비밀번호를 모두 변경하고, 로그인 시 사용자의 모바일 기기에 허용 알림을 보내는 '2단계 인증'을 설정하시기 바랍니다. 

 

행정업무 간편화가 보편적으로 이뤄짐에 따라, 가짜 전자문서로 위장하여 사용자의 계정정보를 탈취하는 공격은 수년 간 지속적으로 발생하고 있습니다.

 

사용자 여러분들께서는 메일의 발신자와 접속 URL을 눈여겨 보는 습관을 들이고, 조금이라도 의심스럽다면 공식 고객센터를 통해 확인하는 절차를 가지는 것을 권고 드립니다.

 

 

IoC

피싱페이지 주소

hxxps://nid.navecorp[.]pro/

 

C&C

172.93.181.91

 

 

 

 

 

 

관련글 더보기

댓글 영역