텔레그램 계정을 노리는 스미싱 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
텔레그램 계정탈취를 목적으로 하는 스미싱이 지속적으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다.

스미싱 문자는 다음과 같은 내용들과 함께 피싱 링크가 포함된 형태로 유포됩니다. 

 

[국외발신]telegram계정보안활동이발견됩니다. 계정보완을위해, 다시로그인하세요  피싱링크
[국외발신] Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크
Telegram정책상 탈퇴예정이니 6시간내 인증바랍니다. 피싱링크
[국외발신] Telegram정책에따라 탈퇴될 예정이니 6시간이내 인증을 완료바랍니다. 피싱링크
해외기기의 로그인 접촉. 홈페이지 접속후 재연동해주세요  피싱링크

스미싱 문자의 내용과 형식은 조금씩 다르지만, 공통적으로 사용자로 하여금 Telegram 재인증 혹은 재로그인을 유도한다는 점 입니다.

사용자가 스미싱 문자 내에 포함된 피싱 링크를 클릭하면 텔레그램 로그인 페이지와 유사하게 제작된 피싱 페이지로 접속됩니다.

 

[그림 1] 피싱 페이지 메인화면

 

 

피싱페이지에 접속한 사용자가 로그인을 위해 자신의 휴대폰 정보를 입력하면 실제 텔레그램서버에서 로그인을 위한 인증번호이 발송됩니다. 

 

 

[그림 2] 수신된 인증번호와 인증번호 입력을 유도하는 피싱 페이지

 

 

피싱 페이지에 인증번호를 입력하게되면 공격자는 성공적으로 계정을 탈취하게 됩니다. 

 

 

[그림 3] 공격 흐름도

 

해당 공격에서 공격자는 사용자와 정상 텔레그램 사이에서 데이터를 전달해 주는 전달자 역할이며, 공격자가 사용자로부터 전달받은 입력값으로 사용자 계정에 접근이 가능하게 됩니다.  

 

[그림 4] 공격자에게 전송되는 사용자 정보

 

전달된 후에는 공격자가 추가로 제작해 둔 페이지를 보여주는데, 이는 수집한 계정정보로 로그인을 시도할 시간을 벌기 위한 의도로 추정됩니다.

 

[그림5] 추가 안내를 가장한 피싱 페이지

 

 

이런 공격을 통하여 공격자는 사용자의 휴대폰번호를 포함한 개인정보 탈취뿐만 아니라 이렇게 장악한 사용자 계정을 통해 대화내용을 열람하고 모니터링 할 수도 있어 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 SMS로 수신된 메세지 내 링크 클릭을 지양해 주시기 바라며, 웹페이지 접속 시 반드시 접속한 페이지의 url을 확인하시기 바랍니다. 

 

 

IoC

aie.mtelegram[.]p-e.kr
hxxp://tg-safe[.]xco.kr
hxxp://tele-gram[.]kro.kr
hxxp://tele-pass[.]kro.kr 
hxxps://kg-telegrem[.]tel