본문 바로가기

벌새::Analysis

다음(Daum) 이메일 해지 경고 메일을 통한 계정 정보 수집 주의 (2020.3.3)

다음(Daum) 포털 사이트 계정 정보 수집 목적으로 한글로 작성된 계정 비활성화 요청 취소 관련 메일이 확인되어 살펴보도록 하겠습니다.

 

 

"이메일 해지 (마지막 경고)" 메일 본문

"이메일 해지 (마지막 경고)" 제목으로 수신된 메일은 핫메일(hotmail.com) 계정에서 발송 처리되었으며, 내용은 다음과 같습니다.

 

친애하는 사용자,

귀하의 계정 비활성화 요청이 접수되었습니다. 비활성화 프로세스를 완료하려면이 요청을 확인하고 계속 진행하려면 링크를 클릭하십시오.

 

예, 이메일 계정을 비활성화하고 싶습니다.

 

아니요이 요청을하지 않았습니다. 비활성화 요청을 취소하십시오.

 

메일 내용을 전반적으로 살펴보면 잘못된 띄어쓰기와 매우 이상한 마지막 인사 문구(사용 해줘서 고마워)가 있다는 점에서 해외에서 활동하는 조직으로 추정할 수 있습니다.

 

예 또는 아니요를 클릭할 경우 모두 동일한 사이트로 연결이 이루어지며, 특히 해당 사이트는 "Let's Encrypt Authority X3" 인증서를 사용하고 있습니다.

 

"Let's Encrypt Authority X3" 인증서

이는 인증서 사용을 통해 보안 연결(https)로 접속하여 신뢰할 수 있는 사이트처럼 구성하기 위함입니다.

 

가짜 다음(Daum) 로그인 페이지 (singinggirlsguide.com)

메일 본문의 링크를 클릭할 경우 가짜 다음(Daum) 로그인 페이지를 표시하는 "singinggirlsguide.com (162.241.30.175:443)" 피싱(Phising) 사이트로 연결됩니다.

 

다음(Daum) 아이디/비밀번호 전송 정보

접속한 사용자가 의심없이 아이디(ID)와 비밀번호를 입력하고 로그인을 시도할 경우 계정 정보가 해당 서버로 전송되는 것을 확인할 수 있습니다.

 

다음(Daum) 메인 페이지

또한 로그인 버튼을 클릭하는 순간 자동으로 다음(Daum) 메인 페이지로 자동 연결하는 추가적인 동작이 이루어집니다.

 

이번 사례와 같이 최근 네이버(Naver)를 비롯한 국내 포털 사이트 계정 정보 수집 목적으로 끊임없이 피싱(Phishing) 메일을 무작위로 발송하여 가짜 로그인 페이지에 접속을 유도하여 정보를 입력하도록 하는 사례가 있으므로 메일 본문에 포함된 링크 클릭을 통해 로그인을 할 때에는 반드시 접속한 주소(URL)를 잘 확인하도록 하여 피해를 당하지 않도록 하시기 바랍니다.