금융 정보 탈취와 소액결제를 유도하는 우체국 사칭 피싱 메일 주의!

 

 

최근 우체국을 사칭한 배송 지연 안내 메일을 통해 개인정보 및 금융 정보를 탈취하고 소액 결제까지 유도하는 피싱 메일이 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 

 피싱 메일은 ‘[조치필요] 세금 미납으로 배송 중지 (운송장번호 K541472056KR)’ 라는 제목으로 발송 되었으며, 우체국에서 발송된 메일로 위장하기 위해 실제 우체국 고객센터 번호가 기재되어 있습니다. 

본문에는 배송 중지 상태를 안내하며 사용자로 하여금 정상 배송을 위해 ‘세금 납부 및 배송 재개’ 링크를 클릭하도록 유인합니다. 

 

[그림 1] 우체국 사칭 피싱 메일

 

사용자가 우체국 메일로 오인하여 해당 링크를 클릭하게 되면 우체국 배송조회 사이트로 위장한 피싱 페이지로 연결되며, 우체국에서 도착한 메시지 확인을 안내합니다.

메시지 확인 시 송장번호로 배송 상품을 직접 조회한 것처럼 허위 배송 조회 결과를 보여주며, 사용자가 배송 일정 설정을 진행하도록 유도합니다. 

 

[그림 2] 배송 일정 설정 화면

 

이후 배송 방법, 일정, 장소 등을 지정한 뒤 패키지가 예약되었다는 메시지를 보여주며 연락처 정보 입력과 배송비 결제를 요구합니다. 

 

[그림 3] 배송 사항 지정 및 결제 안내 화면

 

배송비 결제를 위해 먼저 개인정보와 신용카드 정보 입력을 요구하며, 입력된 카드정보에 대해서는 정상 카드 여부를 확인하기 위해 카드번호에 따른 신용카드사 검증도 진행하는 것으로 확인되었습니다. 

입력 페이지를 자세히 들여다보면 이전 페이지와 배송비 금액이 다르게 표시되는 허술한 점도 확인할 수 있습니다. 

 

[그림 4] 개인 정보 및 카드정보 입력 화면

 

입력된 개인정보와 신용카드 정보는 모두 공격자 서버로 전송되며, 개인 정보는 평문으로 그대로 전달되나, 신용카드 정보는 AES-256 방식으로 암호화되어 전송됩니다. 

 

[그림 5] 공격자 서버로 전송되는 개인정보 (위) 및 카드정보 (아래)

 

카드정보 입력이 끝나면 입력된 카드정보를 바탕으로 해당 카드사 정상 결제 페이지 화면을 띄우고 실제 배송비 결제 진행을 유도합니다. 

 

[그림 6] 신용카드 결제페이지 화면

 

이번 피싱 공격은 배송 중지 사유로 배송비 결제를 유도하여 카드정보 입력부터 결제까지 자연스럽게 진행되도록 제작되었습니다.  사용자가 주의를 기울이지 않으면 피싱 공격임을 인지하기 어려워 피해로 이어질 수 있습니다. 

사용자분들께서는 이메일 본문에 삽입된 링크 클릭을 지양하시기 바라며, 접속된 페이지의 URL를 꼼꼼히 확인하는 습관을 갖는 것이 중요합니다. 
또한 우체국에서는 우편물 배송을 이유로 수취인에게 이메일을 통한 결제를 요구하지 않는 점을 기억하시고, 금융정보 유출로 인한 금전적인 피해를 예방하시기 바랍니다. 

 

Ioc

hxxps://trustcheckout[.]net/api/update-rc/15968738
hxxps://trustcheckout[.]net/api/get_merchant