울지않는벌새 : Security, Movie & Society

다음(Daum) 계정을 노리는 "Critical alert for your account ID" 피싱(Phishing) 메일 주의 (2019.11.15)

벌새::Analysis

최근 영어(English)로 작성된 피싱(Phishing) 메일을 통해 다음(Daum) 포털 계정 정보를 수집하려는 메일이 확인되어 살펴보도록 하겠습니다.

 

"Critical alert for your account ID" 피싱(Phishing) 메일 모습

"<메일 계정명>, Critical alert for your account ID 1847" 제목으로 수신된 해당 메일은 연결된 한메일 프로필이 차단되었으므로 로그인을 시도하도록 "Sign-in attempt was blocked for your linked profile" 메시지와 함께 "CHECK ACTIVITY" 버튼 링크가 포함되어 있습니다.

 

"CHECK ACTIVITY" 링크 소스

"CHECK ACTIVITY" 버튼을 클릭할 경우 "h**p://hocdaututhongminh[.]com/wp-content/correctivesl.php" 주소로 연결이 이루어지도록 구성되어 있습니다.

 

최종 연결 URL 정보

링크에 포함된 URL 주소는 해킹된 사이트에 임시로 추가된 것으로 추정되며, 이를 통해 최종적으로 "h**p://bestwomen-now1[.]com" 서버로 연결되는 구조이며 현재는 더 이상 연결되지 않고 있습니다.

 

VirusTotal 검사 결과

최종 연결 URL 주소 기반으로 VirusTotal 검색을 해보면 피싱(Phishing) 사이트로 확인되어 차단되는 극소수 보안 제품이 확인되고 있습니다.

 

아마도 정상적으로 연결이 이루어졌다면 다음(Daum) 로그인 페이지에 입력해야 하는 ID와 비밀번호를 제출하도록 유도했을 것으로 보입니다.

 

그러므로 메일을 통해 사용하는 계정에 문제가 발생하였다는 내용과 함께 연결 링크가 포함되어 있는 경우에는 링크를 클릭하더라도 웹 브라우저 주소창에 표시된 URL 주소를 꼼꼼하게 확인하여 정보를 입력하는 일이 없도록 주의하시기 바랍니다.