울지않는벌새 : Security, Movie & Society

피싱(Phishing) 메일 : Lloyds TSB Bank Electronic Banking Customer

벌새::Analysis

오늘 확인한 이메일 중에 영국에 위치한 "Lloyds TSB Bank" 은행에서 발송한 것처럼 꾸며진 피싱(Phishing) 이메일을 발견하였습니다.

해당 이메일을 확인하는 순간 F-Secure 보안 제품이 Trojan-Spy.HTML.Fraud.gen 진단명으로 진단하는 모습을 확인할 수 있었습니다.

[DocTemp0.html]
Antivirus Version Last Update Result
AhnLab-V3 2008.8.19.0 2008.08.20 -
AntiVir 7.8.1.23 2008.08.20 -
Authentium 5.1.0.4 2008.08.20 -
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.20 -
BitDefender 7.2 2008.08.20 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.20 -
eSafe 7.0.17.0 2008.08.20 -
eTrust-Vet 31.6.6037 2008.08.20 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.19 -
F-Secure 7.60.13501.0 2008.08.20 Trojan-Spy.HTML.Fraud.gen
Fortinet 3.14.0.0 2008.08.20 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.20 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.20 Trojan-Spy.HTML.Fraud.gen
McAfee 5364 2008.08.19 -
Microsoft 1.3807 2008.08.20 -
NOD32v2 3371 2008.08.20 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.20 -
Rising 20.58.22.00 2008.08.20 -
Sophos 4.32.0 2008.08.20 -
Sunbelt 3.1.1564.1 2008.08.20 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.20 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.20 -
Additional information
File size: 1902 bytes
MD5...: 3ba1f0bd510fad8a1fae10903362d27d
SHA1..: e882432c2b0a474310b44b9e21f7dbc4b61f87fa


이번의 경우에는 단순하게 이메일을 여는 순간에 특정 파일이 메신저의 임시 폴더에 자동으로 다운로드되는 방식으로 상당히 위험한 형태로 보입니다.

만약 보안 제품이 진단하지 않는다면 위의 그림과는 다르게 해당 이메일의 내용이 제대로 구현되리라 보여집니다.

해당 이메일의 소스를 통해 대략적인 방식을 살펴보겠습니다.

메일 내용에서는 Lloyds TSB Bank에서 제공하는 보안 강화를 목적으로 제시된 링크를 통해 절차를 따르도록 안내하고 있습니다.

실제 해당 링크에서 제공되는 부분은 Lloyds TSB Bank의 웹사이트 도메인과 매우 유사하게 등록되어 있으며 링크를 클릭하면 다음과 같은 가짜 은행 웹 사이트로 이동합니다.

해당 사이트는 악의적으로 꾸민 웹 사이트로 Lloyds TSB Bank 계정의 아이디(ID)와 비밀번호를 탈취할 목적으로 제작된 피싱(Phishing) 사이트로 판단됩니다.

실제 그림과 같이 가려진 일부 도메인 주소는 정식 도메인과 유사하게 꾸며져 있으며, 웹사이트의 일부 링크를 클릭할 경우 정상적인 웹사이트로 이동하게 만들어져 있으므로 속기 쉽습니다.

아이디와 비밀번호를 입력한 후, [Continue]를 클릭하면 다음과 같은 메시지를 확인할 수 있습니다.

정상적인 과정이라면 로그인이 된 상태의 화면이 구현되어야 하지만 피싱 웹사이트로 꾸며진 사이트이므로 입력된 아이디(ID)와 비밀번호가 탈취되는 것입니다.

[index.htm]
Antivirus Version Last Update Result
AhnLab-V3 2008.8.19.0 2008.08.20 -
AntiVir 7.8.1.23 2008.08.20 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.08.20 -
Avast 4.8.1195.0 2008.08.19 JS:Packed-D
AVG 8.0.0.161 2008.08.20 JS/Downloader.Agent
BitDefender 7.2 2008.08.20 Trojan.Asprox.L
CAT-QuickHeal 9.50 2008.08.19 -
ClamAV 0.93.1 2008.08.19 -
DrWeb 4.44.0.09170 2008.08.20 -
eSafe 7.0.17.0 2008.08.19 -
eTrust-Vet 31.6.6036 2008.08.19 -
Ewido 4.0 2008.08.19 -
F-Prot 4.4.4.56 2008.08.19 -
F-Secure 7.60.13501.0 2008.08.20 Trojan-Downloader.JS.Agent.ciw
Fortinet 3.14.0.0 2008.08.20 -
GData 2.0.7306.1023 2008.08.20 Trojan-Downloader.JS.Agent.ciw
Ikarus T3.1.1.34.0 2008.08.20 Trojan.Asprox.C
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.20 Trojan-Downloader.JS.Agent.ciw
McAfee 5364 2008.08.19 JS/Generic Exploit.i

Microsoft 1.3807 2008.08.20 -
NOD32v2 3370 2008.08.20 -
Norman 5.80.02 2008.08.19 -
Panda 9.0.0.4 2008.08.19 -
PCTools 4.4.2.0 2008.08.19 -
Prevx1 V2 2008.08.20 -
Rising 20.58.22.00 2008.08.20 -
Sophos 4.32.0 2008.08.20 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.20 Trojan.Asprox
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.20 -
VBA32 3.12.8.3 2008.08.19 -
ViRobot 2008.8.19.1341 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.19 JS.Proxas.A
Webwasher-Gateway 6.6.2 2008.08.20 Heuristic.HTML.Malware
Additional information
File size: 2649 bytes
MD5...: d10f78027a51b33faf535f62b3c2c2e7
SHA1..: 934c1e51eec9d87429e5c88910b5f899c12c976c

국내 금융권을 목표로 위와 같이 제작된 피싱 사이트는 찾기 힘들지만 해외의 경우에는 이메일을 통해 종종 발견되는 것 같습니다.

금융권 관련 웹 사이트에 접속시에는 반드시 이메일을 통한 링크를 이용하지 마시고 웹 브라우저의 주소창에 주소를 직접 입력하는 방식이 안전하며, 금융권과 관련된 정보 입력시에는 해당 페이지의 주소를 확인하며 진행하시기를 바랍니다.