본문 바로가기
악성코드 정보

공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중

by 분석팀 2020. 7. 2.

ASEC 분석팀은 공직자를 타켓으로 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다.

 

유포된 스팸 메일

 

메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL "hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]"이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다.

 

하이퍼링크 클릭 시 메일 서버에 접속하는 것 같은 페이지에 접속한 후 최종적으로 계정의 패스워드를 입력하는 페이지로 리다이렉트 된다.

 

리다이렉트 되는 페이지

 

피싱 페이지

 

해당 피싱 페이지에서 로그인 할 경우 국내 정상 사이트가 표시되어 사용자가 정상적으로 계정 접근이 허가된 것으로 보여 계정 정보가 탈취된 것을 알아차리기 어렵다.

 

패스워드 입력 후 표시되는 페이지

 

계정 정보와 관련된 메일을 수신 시 메일을 보낸 발신인을 꼭 확인해야 하며, 출처가 불분명한 메일에 포함된 URL을 클릭하지 않도록 주의가 필요하다.

 

 

댓글