최근 해외 SNS 서비스 페이스북(Facebook)에서 발송한 것처럼 위장하여 성인 의약품을 판매하는 사이트로 연결을 시도하는 스팸(Spam) 메일이 확인되어 살펴보도록 하겠습니다.
■ 발신자 : "Facebook" <donotreply+rgi6m2uziyoh@201-161-11-46.internetmax.maxcom.net.mx>
Hi,
Here's some activity you have missed on Facebook.
3 friend request
수신된 이메일은 Facebook에서 발송하는 패턴과 유사하게 구성하고 있으며, 제공되는 링크(URL)를 클릭할 경우 특정 IP 서버로 연결된 웹 페이지(h**p://211.239.162.41/~iring/skates.html)로 접속하도록 구성되어 있습니다.
연결이 이루어진 페이지에서는 체코 공화국(Czech Republic)에 위치하는 웹 호스팅 서비스를 통해 성인 의약품 판매 사이트 "Canadian Family Pharmacy"로 연결이 이루어지고 있는 것을 확인할 수 있습니다.
여기에서 주목할 점은 해당 스팸 메일에 이용되고 있는 최초 링크(URL)의 IP 주소(211.239.162.41)가 국내로 확인되고 있다는 점입니다.
악용되고 있는 IP 주소는 국내 도메인으로 연결되는 부분을 확인할 수 있으며, 해당 서버에서는 해외에서 스팸으로 활용하는 흔적을 발견할 수 있습니다.
이처럼 관리가 제대로 이루어지지 않는 서버를 이용하여 해외에서 스팸 발송에 악용하는 사례를 확인할 수 있었습니다.