본문 바로가기

벌새::Analysis

Apple 계정 및 지불 정보 수집 목적의 피싱 메일 주의 (2017.9.17)

반응형

최근 Apple 사이트와 유사하게 제작하여 계정 정보와 추가적인 지불(Payment) 정보를 수집하는 피싱(Phishing) 메일이 국내에서도 확인되어 살펴보도록 하겠습니다.

 

 

확인된 피싱(Phishing) 메일은 "Your Apple ID has been locked [#2773894]" 제목으로 수신될 수 있으며, 내용에서는 최근 지불 정보를 확인하는데 실패하였으므로 "Click here to validate your account information" 링크를 통해 계정 확인 절차를 수행하라는 내용입니다.

 

h**ps://secureserver*appleid.com (88.99.43.102:443)

 

메일 링크를 통해 연결되는 사이트는 Apple ID 확인 목적으로 등록된 도메인처럼 구성되어 있으며 HTTPS 보안 연결도 지원하고 있습니다.

 

 

메일 링크를 통해 연결된 웹 사이트에서는 "302 Moved Temporarily"를 통해 동일 IP에 등록된 다른 웹 사이트로 리다이렉트가 이루어집니다.

 

 

연결된 웹 사이트는 Apple ID와 비밀번호(Password)를 입력할 로그인 페이지로 연결되며, 주소창에서는 HTTPS 연결에 따른 자물쇠 모양이 표시되어 있습니다.

 

 

 

피싱(Phishing) 사이트에 적용된 인증서는 "DST Root CA X3"에서 발급된 웹 인증서이며, 이전에도 언급했지만 HTTPS 서버로 연결된다고 안전한 사이트임을 보장하는 것이 아니며 피싱(Phishing) 사이트도 충분히 HTTPS 서버를 운영할 수 있음을 알아야합니다.

 

 

사용자가 Apple 로그인 창에 ID와 비밀번호 정보를 입력하여 로그인을 시도할 경우 해당 정보를 signin.php 페이지로 전송한 후 다음과 같은 메시지를 표시합니다.

 

 

생성된 "This Apple ID has been locked for security reasons." 메시지를 통해 보안상의 이유로 Apple ID가 차단되었으므로 해제를 위해서 "Unlock Account" 링크를 클릭하도록 유도하고 있습니다.

 

 

이를 통해 최종적으로 Apple 서비스에 등록된 지불(Payment) 정보와 세부적인 보안 설정 정보를 추가적으로 입력하도록 안내하고 있습니다.

 

만약 사용자가 해당 피싱(Phishing) 사이트 정보에 속아 관련 정보를 입력할 경우 공격자는 개인정보 판매 및 상품 구매를 통해 금전적 피해를 유발할 수 있습니다.

 

Apple 정식 사이트에서 제공하는 주소창을 확인해보면 녹색(Green)으로 표시된 인증서 정보를 확인할 수 있으며, 피싱(Phishing) 사이트에서 제공하는 인증서와는 차이가 있음을 알 수 있습니다.

 

그러므로 메일을 통해 가입 사이트의 계정에 문제가 발생하였다고 접속을 유도하는 경우에는 메일에 포함된 링크가 아닌 사용자가 직접 웹 사이트 주소를 입력하여 접속하는 것이 가장 안전하므로 이런 방식의 정보 유출 공격에 피해를 입지 않도록 주의하시기 바랍니다.

728x90
반응형