악성코드 분석 리포트

국내 유명 카드사를 사칭하여 금융정보 탈취를 시도하는 피싱 메일 주의!

알약4 2024. 11. 26. 11:25

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다

국내 유명 카드사를 사칭하여 금융정보 탈취를 시도하는 피싱 공격이 발견되어 사용자 분들의 각별한 주의가 필요합니다.

 

이번 공격은 중요사항: OO카드 계좌 컴플라이언스 검증이라는 제목의 피싱 메일을 통해 유포되었습니다.

 

[그림 1] 국내 카드사를 위장한 피싱 메일

 

해당 피싱 메일에서는 보안정책 변경에 따른 신용카드 계정 정보 수정을 요구하며, 계좌 정보가 수정되지 않으면 카드 계좌가 정지될 수 있다는 내용으로 사용자에게 불안감을 유발하여 본문 내 링크 클릭을 유도합니다.

 

본문 내 삽입된 링크는 사용자의 의심을 피하기 위해 해당 카드사 홈페이지 URL로 위장했으며, 실제로는 공격자가 설정해 놓은 피싱 페이지 URL이 연결되어 있습니다.

 

[그림 2] 본문 내 삽입된 피싱 페이지 단축URL

 

사용자가 계좌 정보 확인을 위해 해당 링크를 클릭하게 되면 연결된 피싱 페이지로 접속되며, 검증을 위해 필요한 사용자 개인정보 및 신용카드/계정 정보를 입력하도록 유도합니다.

 

[그림 3] 개인정보 및 신용카드/계정 정보 입력을 요구하는 피싱 페이지

 

만일 사용자가 모든 정보를 입력 후 [검증하기]를 누르면 입력된 정보는 공격자의 서버로 전송되며 공격은 종료됩니다.

 

[그림 4] 공격자 서버로 전송되는 입력 정보

 

[그림 5] 사용자 정보를 수집하는 패킷 정보

 

 

이번 공격은 신용카드 계좌정보 검증이라는 다소 민감한 소재를 통해 사용자의 금융정보 탈취를 시도한 공격으로 금융 사에서 카드정보를 요구하는 경우에도 카드번호와 함께 CVC코드, 카드비밀번호 네 자리 숫자를 모두 입력하도록 요구하는 경우는 없다는 점을 반드시 기억하시어 금융정보 유출로 인한 금전적인 피해를 보지 않도록 각별히 주의하시기 바랍니다.

 

또한 유사한 메일을 수신한 경우 발신자 메일주소를 필히 확인하시고, 메일 내 삽입된 링크 클릭은 지양하시기 바라며, 내용 확인이 필요한 경우 해당 금융 사 공식 홈페이지로 접속하여 확인하시는 방법을 권해드립니다.

 

 

Ioc

hxxp://uomm.netsons.org/wp-includes/shi/4k4t60grbjbwc0vl21odcpcs.htm?client_id=CBCA6A361411A6DCA44C84AF7D0C4F1A&response_mode=form_post&response_type=code+id_token&scope=openid+profile&email=&Connect_Authentication_Properties&&nonce=1573657908cbca6a361411a6dca44c84af7d0c4f1a&redirect_uri=&ui_locales=en-US&mkt=en-US 

 

hxxp://uomm.netsons.org/wp-includes/shi/echo.php