본문 바로가기 대메뉴 바로가기

정보보안 동향

국내 포털사이트 Daum 으로 위장한 피싱메일 유포 주의 글의 상세내용

『 국내 포털사이트 Daum 으로 위장한 피싱메일 유포 주의 』글의 상세내용을 확인하는 표로 제목, 부서명, 등록일, 조회, 첨부, 내용으로 나뉘어 설명합니다.

제목 국내 포털사이트 Daum 으로 위장한 피싱메일 유포 주의
작성자 정보통신팀 등록일 2022-07-25 조회 3398
첨부  

 

최근 국내 포털 사이트 Daum(다음) 으로 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 요구 됩니다.

 

보안 전문업체 안랩에 따르면 2022721일에 국내 포털 사이트 중 하나인 Daum 으로 위장한 피싱 메일이 유포되고 있는 정황을 확인하였습니다. 해당 피싱 메일은 제목에 ‘RFQ’ 를 포함하여 견적 요청서로 위장하고 있으며 첨부파일을 이용하여 피싱 페이지로 사용자를 유도하도록 되어 있습니다.

 

 

[그림] 피싱메일 본문

 

첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 아래 악성 주소로 리다이렉션 됩니다.

 

공격자 악성 주소 : hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

 

[그림] 첨부된 HTML 파일 소스 코드

 

해당 페이지 리다이렉션 이 후 아래와 같이 Daum 사이트로 위장한 로그인 페이지()가 출력되며 실제 로그인 페이지()와 비교했을 때 비슷하게 꾸며져 있어 사용자의 식별이 제한됩니다. 피싱 페이지는 실제 로그인 페이지와 다르게 로그인 버튼 외 다른 버튼의 경우 정상적으로 동작하지 않습니다.

 

 

[그림] 피싱 사이트() 와 정상 사이트() 비교

 

사용자가 피싱 페이지를 정상 로그인 페이지로 인식하여 계정 정보를 입력 후 로그인을 시도하게 되면 공격자에게 입력한 계정 정보를 전달하게 되며, 그 후 로그인 페이지로 다이 시동되어 비밀번호가 잘못되었다는 문구를 보여주고 다시 사용자에게 계정 정보를 입력 받도록 합니다.

 

계정 정보 입력 후 로그인 버튼을 클릭하여 계정 정보를 전달하게 되면 계정 아이디의 도메인 주소(Daum 메인)로 리다이렉트 되어 이동하는 방식의 패턴을 가지고 있어 사용자는 입력된 정보가 유출되는 상황을 인지하기 어려워 추가 피해가 발생 할 수 있습니다.

 

[그림] 로그인 버튼 클릭시 전송되는 데이터

 

이와 같은 피싱 메일은 다양한 패턴이 존재하고 있어 사용자들의 각별한 주의가 요구되며 발신자가 불분명한 메일과 출처를 알 수 없는 첨부파일을 실행하지 않도록 해야 하며, 특히 로그인 화면이 표시될 때 주소를 꼭 확인하여 자신이 로그인 하는 대상 사이트와 일치하는지 확인해야 합니다. 

목록