본문 바로가기

벌새::Analysis

Apple 계정 및 지불 정보 수집 목적의 피싱 메일 주의 (2017.9.17)

최근 Apple 사이트와 유사하게 제작하여 계정 정보와 추가적인 지불(Payment) 정보를 수집하는 피싱(Phishing) 메일이 국내에서도 확인되어 살펴보도록 하겠습니다.

 

 

확인된 피싱(Phishing) 메일은 "Your Apple ID has been locked [#2773894]" 제목으로 수신될 수 있으며, 내용에서는 최근 지불 정보를 확인하는데 실패하였으므로 "Click here to validate your account information" 링크를 통해 계정 확인 절차를 수행하라는 내용입니다.

 

h**ps://secureserver*appleid.com (88.99.43.102:443)

 

메일 링크를 통해 연결되는 사이트는 Apple ID 확인 목적으로 등록된 도메인처럼 구성되어 있으며 HTTPS 보안 연결도 지원하고 있습니다.

 

 

메일 링크를 통해 연결된 웹 사이트에서는 "302 Moved Temporarily"를 통해 동일 IP에 등록된 다른 웹 사이트로 리다이렉트가 이루어집니다.

 

 

연결된 웹 사이트는 Apple ID와 비밀번호(Password)를 입력할 로그인 페이지로 연결되며, 주소창에서는 HTTPS 연결에 따른 자물쇠 모양이 표시되어 있습니다.

 

 

 

피싱(Phishing) 사이트에 적용된 인증서는 "DST Root CA X3"에서 발급된 웹 인증서이며, 이전에도 언급했지만 HTTPS 서버로 연결된다고 안전한 사이트임을 보장하는 것이 아니며 피싱(Phishing) 사이트도 충분히 HTTPS 서버를 운영할 수 있음을 알아야합니다.

 

 

사용자가 Apple 로그인 창에 ID와 비밀번호 정보를 입력하여 로그인을 시도할 경우 해당 정보를 signin.php 페이지로 전송한 후 다음과 같은 메시지를 표시합니다.

 

 

생성된 "This Apple ID has been locked for security reasons." 메시지를 통해 보안상의 이유로 Apple ID가 차단되었으므로 해제를 위해서 "Unlock Account" 링크를 클릭하도록 유도하고 있습니다.

 

 

이를 통해 최종적으로 Apple 서비스에 등록된 지불(Payment) 정보와 세부적인 보안 설정 정보를 추가적으로 입력하도록 안내하고 있습니다.

 

만약 사용자가 해당 피싱(Phishing) 사이트 정보에 속아 관련 정보를 입력할 경우 공격자는 개인정보 판매 및 상품 구매를 통해 금전적 피해를 유발할 수 있습니다.

 

Apple 정식 사이트에서 제공하는 주소창을 확인해보면 녹색(Green)으로 표시된 인증서 정보를 확인할 수 있으며, 피싱(Phishing) 사이트에서 제공하는 인증서와는 차이가 있음을 알 수 있습니다.

 

그러므로 메일을 통해 가입 사이트의 계정에 문제가 발생하였다고 접속을 유도하는 경우에는 메일에 포함된 링크가 아닌 사용자가 직접 웹 사이트 주소를 입력하여 접속하는 것이 가장 안전하므로 이런 방식의 정보 유출 공격에 피해를 입지 않도록 주의하시기 바랍니다.

  • 박민희 2018.09.30 18:38 댓글주소 수정/삭제 댓글쓰기

    문의드려도 될까요.
    오늘
    최근에 알 수없는 장치를 통해 Apple ID 계정에 액세스했습니다
    이 메일을 받고 애플아이디와 비번을 눌렀고 언락어카운트까지 눌러버렸어요.
    그뒤로 뭔가 이상해서 검색해서 피싱이라는걸 알았는데 컴에 이상한게 자동 설치가 되었다던지 하는 문제가 있는건 아닐까 걱정되어
    문의드립니다. 괜찮을까요???
    너무 걱정됩니다...

    • 단순히 메일을 통해 링크 클릭으로 접속한 사이트가 피싱 사이트인 경우 사용자가 입력한 로그인 정보만 외부로 유출되지 악성 파일은 존재하지 않을 것 같습니다.

      불안하시면 백신으로 정밀 검사를 해보시기 바랍니다.

  • 최현상 2019.03.30 04:21 댓글주소 수정/삭제 댓글쓰기

    [TCC] NT: Your Account has been temporarily disabled for security reasons

    저도 방금 받았습니다.
    공유하고 피해를 예방 하고자 합니다.
    링크를 통한 페이지는 애플 공인 페이지랑 완전히 똑같이 꾸며 놨구요, 마찬가지로 개인 정보와 카드 정보를 요구 하는 피싱 입니다.
    리다이렉트 통해 접속되어서 의심했죠, 깜빡 속을뻔 했습니다.