Home > 전체기사

가짜 견적서 첨부한 ‘다음 사칭 이메일’ 유포중

  |  입력 : 2022-07-24 23:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱 메일, 제목에 RFQ를 포함한 견적 요청서로 둔갑
첨부 파일 이용해 피싱 페이지로 유도


[보안뉴스 원병철 기자] 최근 가짜 견적서가 첨부된 다음 사칭 이메일이 발견돼 사용자들의 주의가 요구된다. 안랩 ASEC 분석팀은 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착했다고 밝혔다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑했으며, 첨부 파일을 이용해 피싱 페이지로 유도하도록 만들어졌다.

▲피싱 메일 본문[자료=ASEC]


첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다.

hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

▲첨부된 HTML 파일의 소스 코드[자료=ASEC]


리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지가 출력되며, 실제 로그인 페이지와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱 페이지는 실제 로그인 페이지와 다르게 로그인 버튼 외 다른 버튼의 경우 정상적으로 동작하지 않는다.

▲피싱 사이트(좌)와 실제 사이트(우) 비교[자료=ASEC]


계정 정보를 입력 후 로그인을 하게 되면, 아래 URL에 입력한 계정 정보를 전달하게 되며, 그 후 로그인 페이지로 다시 이동하여 비밀번호가 틀렸다는 문구를 보여주고 사용자에게 다시 계정 정보를 입력 받도록 한다.

hxxps://kikicard[.]shop/0ragnar2/out.php

▲로그인 버튼 클릭 시 전송되는 데이터[자료=ASEC]


로그인 버튼을 클릭해 한 번 더 계정 정보를 전달하게 되면, 계정 아이디의 도메인 주소로 리다이렉트되어 이동한다.

안랩 ASEC 분석팀은 “이와 같은 피싱 메일은 다양한 패턴이 존재하기 때문에 사용자들의 주의가 필요하다”면서, “불분명한 메일에 대하여 첨부 파일을 열지 않도록 해야 하며, 특히 로그인 창이 나왔을 때 주소를 꼭 확인하여 자신이 로그인 하는 대상 사이트와 맞는지 확인해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)