[AhnLab보안이슈]포털 사이트 계정 정보 노리는 피싱 메일 주의
피싱 메일은 악성코드 유포에 많이 사용되고 있는 방법 중 하나로, 그간 시큐리티레터를 통해서도 다양한 종류의 공격을 다룬 바 있다. ASEC은 최근, 포털 사이트 ‘다음(Daum)’ 사용자 계정 정보 유출을 목적으로 하는 피싱 메일을 확인하여 이를 소개하고자 한다.
해당 메일은 [그림1]과 같이 특정 대학교를 수신 및 발신 대상으로 설정하여 유포되었다. 이를 볼 때, 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다.
구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum) 계정 정보를 입력하도록 유도한다. [그림 2]의 좌측 화면은 첨부된 HTML 스크립트 실행 시 확인되는 페이지다. 정상 페이지인 우측 화면과 비교했을 때 차이가 있지만, 사전에 의심하지 않은 채로 스크립트를 실행할 경우 정상 페이지로 오해할 수 있다.
사용자 ID와 패스워드 입력 후 로그인 버튼을 클릭하면, 사용자 정보는 특정 주소로 유출된다. 유출된 ID와 패스워드들은 공격자가 구축해둔 서버에 접속 국가 및 접속 시간 정보와 함께 저장된다.
• 정보 유출 URL: hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
• 수집된 정보 업로드 URL: hxxps://bo***ken**[.]com/start/startup/setup/name.txt
사용자들은 발신인이 의심되지 않는 경우에도 이메일 첨부파일 혹은 본문 URL 접속에 각별한 주의를 기울여야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 해야한다.
보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.
이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.
단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.
정보 이용 문의 : contents@ahnlab.com