안랩 ASEC 분석팀, 포털 사이트의 계정정보 탈취 노린 피싱 메일 주의 당부

이스트시큐리티 ERSC, ‘계정 정지’ 경고로 위장한 ‘빗썸’ 사이트 피싱 메일 경고

포털과 암호화폐 거래소 계정 탈취 시도...금전 탈취 노린 2차 공격 우려 커져

[보안뉴스 권 준 기자] 암호화폐 투자 열풍으로 비트코인을 비롯한 암호화폐들의 시세가 급등락을 거듭하고 있는 가운데 최근 포털 사이트와 암호화폐 거래소의 계정 탈취를 노린 피싱 메일 공격이 연이어 발생한 것으로 드러났다.

무엇보다 포털 사이트와 암호화폐 거래소의 계정 탈취 시도가 2차 공격을 하기 위한 전초전의 성격을 띠는 만큼 코인 투자자들을 타깃으로 비트코인 등 암호화폐 탈취를 노린 공격이 이어질 수 있다는 우려가 제기되고 있다.

​

▲메일 서버 관리자로 위장한 기업대상 피싱 메일 내용[자료=안랩 ASEC 분석팀]

먼저, 안랩 ASEC 분석팀은 메일 서버 관리자로 위장한 기업대상 피싱 메일이 유포되고 있다고 주의를 당부했다. 해당 피싱 메일은 포털 사이트의 계정정보 탈취를 목적으로 하고 있는데, 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다.

피싱 메일은 국내 특정 기업의 메일 서버 관리자로 위장해 ‘*****l.com Error Notification’이라는 메일 제목으로 유포되고 있으며, 메일 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되기 전에 메시지를 검토해라”는 내용을 담고 있다.

피싱 사이트는 특정 기업의 로그인 페이지로 위장하고 있으며 공격대상 메일 주소가 자동으로 기입되어 있다. 해당 메일 계정에 대한 비밀번호를 입력한 후 로그인(LOGIN) 버튼을 클릭하면, 공격자의 서버로 해당 계정정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 되는 것으로 분석됐다.

안랩 ASEC 분석팀은 “공격자는 사용자의 계정정보를 탈취하기 위하여 피싱 페이지의 링크를 메일에 첨부하여 유포하고 있다”며, “사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함된 URL을 클릭하지 않도록 주의해야 한다”고 당부했다.

​

▲빗썸 계정 탈취를 위한 피싱 공격 이메일 화면[자료=이스트시큐리티 ESRC]

이와 함께 최근 비트코인 열풍으로 암호화폐에 대한 관심도가 높은 상황에서 국내 대표 암호화폐 거래소 중 한 곳인 ‘빗썸’의 계정 탈취를 목적으로 발송된 피싱 메일이 발견되기도 했다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 ‘계정 정지’ 경고로 위장한 ‘빗썸’ 사이트 피싱 메일은 ‘[긴급한] 계정이 정지 될 수 있음’이라는 제목으로 유포됐으며, 계정정보를 확인하지 않으면 정지될 수 있다는 문구로 사용자들의 클릭을 유도하고 있다.

사용자가 자신의 계정 정지를 방지하기 위해 본문에 기재된 링크를 클릭할 경우 빗썸 로그인 페이지와 유사한 피싱 사이트로 이동하게 된다. 이번에 발견된 빗썸 피싱 사이트는 사용자의 계정 및 패스워드뿐만 아니라 접속한 사용자에 대한 Whois 정보(IP 주소, 국가정보, 도시 등)까지 공격자에게 전송되는 것으로 분석됐다.

이스트시큐리티 ESRC는 “암호화폐와 관련된 피싱사이트는 금전적인 피해로 이어질 수 있기 때문에 관련된 사이트에 로그인할 경우에는 항상 로그인 사이트의 주소를 확인하는 등 각별한 주의가 필요하다”고 강조했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=96853&page=1&mkind=1&kind=1)]​