​피싱 메일, 제목에 RFQ를 포함한 견적 요청서로 둔갑

첨부 파일 이용해 피싱 페이지로 유도

[보안뉴스 원병철 기자] 최근 가짜 견적서가 첨부된 다음 사칭 이메일이 발견돼 사용자들의 주의가 요구된다. 안랩 ASEC 분석팀은 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착했다고 밝혔다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑했으며, 첨부 파일을 이용해 피싱 페이지로 유도하도록 만들어졌다.

​

▲피싱 메일 본문[자료=ASEC]

첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다.

hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

​

▲첨부된 HTML 파일의 소스 코드[자료=ASEC]

리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지가 출력되며, 실제 로그인 페이지와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱 페이지는 실제 로그인 페이지와 다르게 로그인 버튼 외 다른 버튼의 경우 정상적으로 동작하지 않는다.

​

▲피싱 사이트(좌)와 실제 사이트(우) 비교[자료=ASEC]

계정 정보를 입력 후 로그인을 하게 되면, 아래 URL에 입력한 계정 정보를 전달하게 되며, 그 후 로그인 페이지로 다시 이동하여 비밀번호가 틀렸다는 문구를 보여주고 사용자에게 다시 계정 정보를 입력 받도록 한다.

hxxps://kikicard[.]shop/0ragnar2/out.php

​

▲로그인 버튼 클릭 시 전송되는 데이터[자료=ASEC]

로그인 버튼을 클릭해 한 번 더 계정 정보를 전달하게 되면, 계정 아이디의 도메인 주소로 리다이렉트되어 이동한다.

안랩 ASEC 분석팀은 “이와 같은 피싱 메일은 다양한 패턴이 존재하기 때문에 사용자들의 주의가 필요하다”면서, “불분명한 메일에 대하여 첨부 파일을 열지 않도록 해야 하며, 특히 로그인 창이 나왔을 때 주소를 꼭 확인하여 자신이 로그인 하는 대상 사이트와 맞는지 확인해야 한다”고 조언했다.

[원병철 기자(boanone@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108597&page=3&mkind=1&kind=1)]​