최근 국내 포털 사이트 Daum(다음) 으로 위장한 피싱 메일이 유포되고 있어 사용자의 주의가 요구 됩니다.

보안 전문업체 ‘안랩’에 따르면 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum 으로 위장한 피싱 메일이 유포되고 있는 정황을 확인하였습니다. 해당 피싱 메일은 제목에 ‘RFQ’ 를 포함하여 견적 요청서로 위장하고 있으며 첨부파일을 이용하여 피싱 페이지로 사용자를 유도하도록 되어 있습니다.

[그림] 피싱메일 본문

첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 아래 악성 주소로 리다이렉션 됩니다.

※ 공격자 악성 주소 : hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

[그림] 첨부된 HTML 파일 소스 코드

해당 페이지 리다이렉션 이 후 아래와 같이 Daum 사이트로 위장한 로그인 페이지(좌)가 출력되며 실제 로그인 페이지(우)와 비교했을 때 비슷하게 꾸며져 있어 사용자의 식별이 제한됩니다. 피싱 페이지는 실제 로그인 페이지와 다르게 로그인 버튼 외 다른 버튼의 경우 정상적으로 동작하지 않습니다.

[그림] 피싱 사이트(좌) 와 정상 사이트(우) 비교

사용자가 피싱 페이지를 정상 로그인 페이지로 인식하여 계정 정보를 입력 후 로그인을 시도하게 되면 공격자에게 입력한 계정 정보를 전달하게 되며, 그 후 로그인 페이지로 다이 시동되어 비밀번호가 잘못되었다는 문구를 보여주고 다시 사용자에게 계정 정보를 입력 받도록 합니다.

계정 정보 입력 후 로그인 버튼을 클릭하여 계정 정보를 전달하게 되면 계정 아이디의 도메인 주소(Daum 메인)로 리다이렉트 되어 이동하는 방식의 패턴을 가지고 있어 사용자는 입력된 정보가 유출되는 상황을 인지하기 어려워 추가 피해가 발생 할 수 있습니다.

[그림] 로그인 버튼 클릭시 전송되는 데이터

이와 같은 피싱 메일은 다양한 패턴이 존재하고 있어 사용자들의 각별한 주의가 요구되며 발신자가 불분명한 메일과 출처를 알 수 없는 첨부파일을 실행하지 않도록 해야 하며, 특히 로그인 화면이 표시될 때 주소를 꼭 확인하여 자신이 로그인 하는 대상 사이트와 일치하는지 확인해야 합니다.