본문 바로가기

벌새::Analysis

Spam 이메일 : KTF 2009년 01월 e-Mail 청구서로 위장한 도박 광고

국내에 유포되는 도박 광고 스팸 이메일(Spam e-mail) 중에 과거부터 유명 업체에서 발송하는 형태로 구성된 경우를 통하여 스팸 필터링을 우회하는 수법이 있어 왔습니다.


최근에 확인한 유사 형태 광고 이메일 중에서 KTF 통신회사에서 발송한 온라인 청구서를 첨부 파일로 추가한 광고 이메일을 확인할 수 있습니다.

해당 메일의 내용은 각 문구마다 다음(Daum) 사이트에 업로드된 파일로 연결하여 특정 도박 사이트로 리다이렉트하는 방식을 취하고 있습니다. 이는 최종 목적 사이트까지 접근을 차단하는 것에 대한 예방책으로 보입니다.


첨부 파일을 추가한 이유는 스팸 필터링 우회를 목적으로 구성되어 있지 않나 생각되어지며, 실제 KTF에서 발송하는 형태로 구성되어진 것으로 추정되는 [KTF 2009년 01월 e-Mail 청구서.html] 파일을 포함하고 있습니다.
 
일반적으로 정상적인 온라인 청구서인 경우 초기 화면에서 사용자의 주민등록번호 뒷자리 7자리를 입력하도록 하는 창과 기타 보안 관련 프로그램 설치창 등이 제시될 수 있는데, 해당 첨부 파일은 그림과 같이 알 수 없는 코드와 함께 WebPri_KFT.cab 인증서를 차단한다는 내용으로 구성되어 있습니다.

[WebPriKTF Control 정보]

h**p://www.ktfmembers.com/download/web_prt/WebPri_KTF.cab


WebPriKTF Control은 실제 KTF에서 제공하는 정상적인 컨트롤러(인쇄 기능 추정)는 맞지만, 광고에 사용된 인증서는 2009년 2월경에 유효 기간에 끝난 것을 사용하고 있습니다.

이는 광고자가 정상적인 KTF 온라인 청구서를 복사하여 과거부터 이용하였던 것으로 추정됩니다.

이처럼 우리가 쉽게 접할 수 있는 이메일 형태로 구성된 스팸 메일의 첨부 파일인 경우 이번처럼 유해한 코드가 포함되어 있지 않지만, 악의적으로 구성하면 주민등록번호 유출 등의 피해가 발생할 수 있으므로 온라인 청구서 사용시 주의하시기 바랍니다.
  • 어이쿠, 저 KTF 사용잔데 조심해야겠네요
    아무 의심없이 열어볼텐데 -.-;;

  • 이런 유형, 얼마전부터 눈에 띄던데요.
    알라딘, LG경제연구원, OO 기관에서 정기적으로 발송하는 메일을 포워딩하는 형태로 구성해서 제목과 본문을 변경해서 보내더군요.
    저는 다른 메일들은 모르겠고, 네이트 사용자에게 뿌려지는 스팸들만 봤습니다.
    제가 본 메일에서는 전부다 다음사용자에게 온 메일을 포워딩한 형태로 해서 보낸 것 같더군요.

    조직적으로 대규모로 발송되는것 같던데요. 스팸쪽은 관심이 적어서 잘 모릅니다만
    이런 유형의 적극적인 광고는 처음이 아닌가 싶습니다.
    발송지 몇군데를 확인해봤는데 스팸봇 깔린 홈 사용자던데요.
    광고사들이 어둠의 스팸서비스를 단순히 돈주고 샀다하면 모르겠습니다만
    대놓고 하는걸 보니 배후가 누군지 궁금합니다.

    • 저도 몇 개월 전부터 저런 형태의 스팸을 접했는데, 아마 다양한 형태로 제작되어진 포멧을 가지고 있는 것 같습니다.

      내용이 대체로 최근이 아닌 다소 지난 콘텐츠를 이용하더군요.

      아마 전문적으로 구성해주는 업자가 있나 봅니다.

  • 정말 소비자들을 교묘하게 속이네요.
    저야 SKT 사용자지만, KTF 사용자가 훨씬 많은 가족들을 위해 조심해야겠네요^^