분석 정보/악성코드 분석 정보

[악성코드 분석]이메일 계정 보안 경고로 위장한 피싱 메일 주의

TACHYON & ISARC 2019. 7. 17. 17:41

이메일 계정 보안 경고로 위장한 피싱 메일 주의

1. 개요

최근 이메일 계정에 의심스러운 접근을 알리는 보안 경고내용으로 피싱 메일이 유포되고 있다. 피싱 메일에 첨부된 링크를 클릭하면 cPanel(웹 호스팅 업체)의 webmail 로그인 페이지로 위장한 가짜 사이트로 연결되고, webmail 로그인을 위해 암호를 요구한다. 이 밖에도 피싱 사이트의 도메인에는 윈도우 계정 로그인을 모방한 페이지도 확인되기 때문에 유사한 공격에 주의할 필요가 있다.

 

 

 

 


2. 분석 정보

2-1. 유포 경로

유포된 피싱 메일은 사용자의 이메일 계정에 의심스러운 접근을 알리는 보안 경고 내용과 함께 가짜 로그인 페이지로 연결되는 링크를 클릭하도록 유도한다. 그리고 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구한다.

 

[그림 1] 링크 클릭을 유도하는 피싱 메일

 

 

2-2. 실행 과정

사용자가 본인의 이메일 계정이 노출된 것으로 착각해 피싱 메일의 링크를 클릭하면, cPanel의 webmail 로그인 페이지처럼 보이는 피싱 사이트로 연결된다. 그리고 로그인 세션이 끊겨서 다시 로그인하기를 요구한다. 하지만 피싱 사이트는 정상 사이트와 달리 네트워크 보안이 안 되어 있는 http로 연결되며, 하단에 정상 cpanel 사이트로 연결되는 링크 부분(Copyright)이 존재하지 않는다.

 

[그림 2] cPanel의 webmail 로그인 정상 사이트(왼), 가짜 사이트(오)

 

 

또한 피싱에 사용되는 IP를 확인해보면, 위 도메인 이외에도 다른 도메인 주소를 이용해 현재도 피싱 공격을 시도하고 있다.

 

[그림 3] 피싱 사이트에 이용되는 도메인 주소

 

 

 

위의 도메인 중, 윈도우 계정 로그인을 모방한 피싱 사이트도 발견되었다. 만약 사용자가 로그인 계정 정보를 입력할 경우, 아래와 같이 계정 정보 탈취의 위험이 있다.

 

[그림 4] 윈도우 계정 로그인을 모방한 피싱 사이트

 

 

 

[그림 5] 사용자 계정 정보 탈취

 

 

 


3. 결론

피싱 메일은 보안 경고, 구매한 적 없는 결제 내역 등 불안감을 느끼게 하는 내용과 함께 가짜 사이트로 연결되는 링크를 클릭하도록 유도한 뒤, 가짜 사이트에서 사용자가 로그인 정보를 입력할 경우 정보를 빼내는 사기 수법이다. 이를 예방 하기 위해 의심스러운 이메일이 왔을 때 발신자의 이메일 주소를 확인하고, 링크로 연결되는 사이트의 주소가 https 연결의 정상 사이트의 주소인지 확인하는 습관을 가져야 한다.