본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

다음(Daum)을 위장하여 유포중인 피싱 메일 주의!

보안공지 2021-10-25


 

다음(Daum)을 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

해당 메일은 "좋은아침 *****@hanmail.net" 보안이 손상되었습니다"라는 제목으로 유포되고 있습니다. 
보낸사람은 Daum Security Filtre로 위장하고 있지만, 개인주소로 발신되었으며 Filter의 스펠링도 틀린점을 확인할 수 있습니다. 

 

 

[그림 1] 다음 보안센터를 위장한 피싱 메일



이메일 내용은 새로운 HTTP INJECTION VIRUS에 감염되었다는 내용과 함께 사용자로 하여금 지금 업데이트 버튼을 클릭하도록 유도합니다. 

사용자가 해당 버튼을 클릭하면 다음을 위장한 피싱 페이지로 넘어가며 사용자에게 계정정보 입력을 요구합니다. 

 

 

[그림 2] 다음(daum)로그인 페이지로 위장한 피싱 페이지

 

 

만일 사용자가 실제 daum 페이지로 오인하여 계정정보를 입력하면 입력한 계정정보는 공격자의 서버로 전송된 후 다음과 같은 메세지가 뜨게 됩니다. 

 

 

[그림 3] 공격자 서버로 전송되는 계정정보

 

[그림 4] 계정정보 전송 후 뜨는 페이지

 

 

C&C정보

199.32.228.96
hxxps://qqixvc.weeblysite.com/app/cms/api/v1/schemas/08879ca0-1986-11ec-88d0-f3706cab2019/entries

 

 

최근 ESRC에서 수 차례 주의를 안내했던 네이버 피싱 메일과 비교하였을 때 그 완성도가 미흡하여 사용자들이 쉽게 피싱메일임을 인지할 수 있습니다.

 

다만, 공식 포털 서비스의 계정을 위장한 공격이 네이버 뿐만 아니라 다음(Daum)으로도 확대중이기 때문에 언제든지 더 정교한 피싱 메일로 사용자들을 위협할 수 있다는 점 반드시 인지하고 계시길 바랍니다.

 

사용자 여러분들께서는 출처 불분명한 사용자에게서 온 이메일의 클릭을 지양하시고, 반드시 발신자의 주소 및 URL을 확인하시는 습관을 길러야 하겠습니다. 

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.