분석 정보/악성코드 분석 정보

영국은행 Lloyds TSB 에서 발송한 것으로 사칭한 악성 피싱 이메일 국내 발견

TACHYON & ISARC 2010. 11. 12. 15:36
영국은행 Lloyds TSB 에서 발송한 것처럼 교묘하게 위장된 악성 이메일이 국내에 유입되었으므로 외국과 금융 거래를 활발히 하시는 분들의 각별한 주의가 필요합니다.

참고로, Lloyds TSB 은행은 잉글랜드 (England)의 4대 상업은행 (Big Four) 중 하나이며, 더욱 크게는 영국 (United Kingdom)의 4대 상업은행 (Big Four) 중 하나인 Lloyds Banking Group에 속한 은행이라고 합니다.

영국 (United Kingdom)의 4대 상업은행:
HSBC Bank
Royal Bank of Scotland Group
Lloyds Banking Group
Barclays

잉글랜드 (England)의 4대 상업은행:
Lloyds TSB

National Westminster Bank
Barclays Bank
HSCB Bank

Lloyds Banking Group (NYSE: LYG) Global Fortune 500 기업으로, 세계 50대 상업 및 저축은행에 속하며, Forbes에 따르면 연 매출이 $256억 달러로 신한금융지주회사 ($204억 달러) KB금융지주회사 ($180억 달러) 보다 더욱 큰 규모라고 하기도 합니다.

이메일 형태는 다음과 같고, 첨부파일을 클릭할 경우 인터넷 뱅킹 로그인 계정과 신용카드 번호 등을 요구하는 일반적인 피싱 메일 형태입니다.

제목 :
Lloyds TSB - ClickSafe Activation Confirmation

내용 :
This is an outbound message only. Please do not reply.

Dear Customer,

Thank you for registering to Lloyds TSB ClickSafe services. This free service provides added safety when you shop online.

Activation Details:
Activation date: 10/11/10
Merchant at which activation took place: Watch Shop UK
Amount of purchase: 23.50 GBP
Login password: CroWldn1529
The service is now active for your Lloyds TSB card with referce no. 819430

If this registration hasn't been made by the certified owner of the account, please download the attached form and fill in all the details that are required to confirm your personal data. After confirming your personal data you will receive an email in order to reset your Lloyds TSB ClickSafe password.

From now on, when shopping at participating online merchants, your purchase is protected with the password you created during the service activation. Please save your password in a safe place; you will need it for future purchases.

To access your Lloyds TSB ClickSafe account, we invite you to visit the Lloyds TSB ClickSafe site. Upon your first visit you may create your own login name and update your account data. Additionally, at this site you will find more information regarding the service and participating merchants.

If you have any questions, please refer to our Frequently Asked Questions (FAQ),
or contact us.


Thank you,
Lloyds TSB

첨부파일 :
online.lloydstsb.co.uk-ClickSafe.pdf.html

이메일 내용을 한글로 번역하면 다음과 같습니다.

제목 :
Lloyds TSB - ClickSafe 활성화 인증

내용 :
이것은 외부발신전용 메세지입니다. 답변을 주시지 마십시오.

고객님,

Lloyds TSB ClickSafe 서비스에 등록하여 주셔서 감사합니다. 이 무료 서비스는 귀하께서 온라인 쇼핑을 하실 시 추가 보안을 제공합니다.

활성화 상세정보:
활성화 일자: 10/11/10
활성화가 일어난 상인: Watch Shop UK
구매금액: 23.50 GBP
Login 암호: CroWldn1529
해당 서비스는 귀하의 Lloyds TSB 카드를 위하여 819430 의 참조번호로 즉시 활성화되어있습니다.

해당 등록이 인증된 계정 소유자로부터 이루어지지 않았다면, 첨부된 양식을 작성하시어 귀하의 개인정보를 인증하시기 바랍니다. 귀하의 개인 정보를 인증한 이후에 귀하께서는 귀하의 Lloyds TSB Clicksafe 암호를 재설정하기 위한 이메일을 받으실 것입니다.

향후에, 귀하께서 온라인 상인으로부터 쇼핑을 하실 시, 귀하의 구매는 귀하께서 서비스 활성화 시 설정하신 암호를 이용하여 보호가 될 것입니다. 향후 구매시 암호가 필요하실 관계로, 귀하의 암호를 안전한 곳에 저장하여 주시기 바랍니다.

귀하의 Lloyds TSB ClickSafe 계정을 접근하기 위하여, 귀하께서 Lloyds TSB ClickSafe 사이트를 방문하여 주시기를 요청드립니다. 귀하의 첫 방문 시 귀하의 개인 login 명을 생성하시고 귀하의 계정 정보를 갱신하실 수 있으십니다. 추가적으로, 귀하께서는 해당 사이트에서 서비스 및 상인에 대한 추가 정보를 보실 수 있으십니다.

귀하께서 어떠한 문의가 있으시다면, 저희 FAQ 사이트를 이용하여 주시거나 연락을 주십시오.

Thank you,
Lloyds TSB

본문에 Login password 라는 값을 제공해서 사용자에게 직접 로그인해 볼 수 있는 권한을 제공하는 것처럼 관심을 끄는 것이 특징이고, 본문에 포함된 링크는 실제 Lloyds 보안 웹 페이지를 연결해 두고 있습니다.

https://www.clicksafe.lloydstsb.com/lloyds/registration/welcome.jsp


첨부되어 있는 "online.lloydstsb.co.uk-ClickSafe.pdf.html" 파일을 사용자가 실행할 경우 다음과 같이 인터넷 뱅킹의 로그온 요구 절차 화면이 보여집니다.

로그온에 필요한 사용자 ID, 암호, 신용카드 정보, 보안 코드 등의 입력을 할 수 있는 화면이 보여지며, 사용자가 개인 정보를 입력하고 Continue 버튼을 누르게 되면 개인 정보가 외부로 유출될 위험성이 있습니다.


Continue 버튼을 누르게 되면 사용자가 신뢰할 수 있도록 다음과 같이 실제 Lloyds TSB 웹 사이트 화면으로 변경해 줍니다.


실제로 첨부되어 있는 html 파일은 코드 내부가 다음과 같이 사용자가 알아보지 못하도록 인코딩(난독화/암호화) 되어 있습니다.


인코딩되어 있는 코드를 디코딩하면 다음과 같이 국내 웹호스팅 서비스(http://www.80port.com)를 이용하는 특정 홈페이지로 정보를 유출 시도하는 것을 볼 수 있습니다. (일부 모자이크 처리)


또한 사용자가 해당 페이지에서 해당정보를 입력하고 Continue 버튼을 누르게 될 경우, 사용자의 개인정보의 내용들이 Lloyds 은행의 IP가 아닌 특정 사이트로 유출 시도를 하는 것을 확인할 수 있습니다.



피싱용 악성 html 첨부파일은 현재 영국 Anti-Virus 업체인 Sophos 에서만 진단하고 있는 것으로 보여지며, nProtect Anti-Virus 제품에는 2010년 11월 12일자에 추가된 상태입니다.


이처럼 인터넷 뱅킹이나 금융권 내용과 관련된 이메일을 수신했을 때 개인 정보를 무심코 입력하지 않도록 하는 주의가 필요하며, 최신 보안 업데이트와 신뢰할 수 있는 보안 업체의 Anti-Virus 제품 사용을 통해서 예방이 가능합니다.