울지않는벌새 : Security, Movie & Society

Spam 이메일 : KTF 2009년 01월 e-Mail 청구서로 위장한 도박 광고

벌새::Analysis
국내에 유포되는 도박 광고 스팸 이메일(Spam e-mail) 중에 과거부터 유명 업체에서 발송하는 형태로 구성된 경우를 통하여 스팸 필터링을 우회하는 수법이 있어 왔습니다.


최근에 확인한 유사 형태 광고 이메일 중에서 KTF 통신회사에서 발송한 온라인 청구서를 첨부 파일로 추가한 광고 이메일을 확인할 수 있습니다.

해당 메일의 내용은 각 문구마다 다음(Daum) 사이트에 업로드된 파일로 연결하여 특정 도박 사이트로 리다이렉트하는 방식을 취하고 있습니다. 이는 최종 목적 사이트까지 접근을 차단하는 것에 대한 예방책으로 보입니다.


첨부 파일을 추가한 이유는 스팸 필터링 우회를 목적으로 구성되어 있지 않나 생각되어지며, 실제 KTF에서 발송하는 형태로 구성되어진 것으로 추정되는 [KTF 2009년 01월 e-Mail 청구서.html] 파일을 포함하고 있습니다.
 
일반적으로 정상적인 온라인 청구서인 경우 초기 화면에서 사용자의 주민등록번호 뒷자리 7자리를 입력하도록 하는 창과 기타 보안 관련 프로그램 설치창 등이 제시될 수 있는데, 해당 첨부 파일은 그림과 같이 알 수 없는 코드와 함께 WebPri_KFT.cab 인증서를 차단한다는 내용으로 구성되어 있습니다.

[WebPriKTF Control 정보]

h**p://www.ktfmembers.com/download/web_prt/WebPri_KTF.cab


WebPriKTF Control은 실제 KTF에서 제공하는 정상적인 컨트롤러(인쇄 기능 추정)는 맞지만, 광고에 사용된 인증서는 2009년 2월경에 유효 기간에 끝난 것을 사용하고 있습니다.

이는 광고자가 정상적인 KTF 온라인 청구서를 복사하여 과거부터 이용하였던 것으로 추정됩니다.

이처럼 우리가 쉽게 접할 수 있는 이메일 형태로 구성된 스팸 메일의 첨부 파일인 경우 이번처럼 유해한 코드가 포함되어 있지 않지만, 악의적으로 구성하면 주민등록번호 유출 등의 피해가 발생할 수 있으므로 온라인 청구서 사용시 주의하시기 바랍니다.