본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

국내 유명 포털사이트 계정을 노리는 견적서 피싱메일 주의!!

보안공지 2020-10-28


안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 유명 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱메일들이 발견되고 있어 사용자의 주의가 필요합니다.


이번에 발견된 메일은 “RE: POSCO.CO.,LTD” 라는 제목으로 수신되었으며 주문한 신제품에 대한 견적을 첨부된 파일을 통해 확인하라는 내용으로 사용자의 클릭을 유도하여 사용자의 포털사이트 계정을 탈취하기 위한 목적으로 발송되었습니다.


[그림1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면



사용자가 신제품 견적을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우, 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.


[그림2] 브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면



사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 실제 견적서처럼 보이는 파일을 구글 드라이브를 통해 사용자에게 보여줍니다.


[그림3] 사용자를 속이기 위해 연결된 견적서 파일 화면



또한 이번에 제작된 피싱 페이지는 실제 포털 로그인 페이지와 매우 흡사하기 때문에 사용자가 쉽게 현혹되어 개인 정보를 입력할 수 있으니 주의해야 합니다.


[그림4] 정상 포털사이트 로그인 페이지와 비교 화면


전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.


개인 정보 피싱 및 수집 사이트 상세 정보

- 개인 정보 수집 사이트

https://hongkmalls.info/naver-estimate.php


- 개인정보 전달 서버 IP

144.76.181.178

 


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면