본문 바로가기

벌새::Analysis

"storage.googleapis.com" 도메인을 이용하는 티스토리 계정 수집 메일 주의 (2020.5.4)

최근 국내 인터넷 사이트 계정을 노리는 다양한 피싱(Phishing) 공격이 발견되고 있는데, 이번에는 티스토리(Tistory) 계정을 대상으로 정보 수집을 하는 사례가 확인되어 살펴보도록 하겠습니다.

 

티스토리(Tistory) 피싱(Phishing) 메일

 

2020년 5월 4일 오전에 "귀하의 이메일이 비활성화 된 것으로보고되었습니다" 제목으로 수신된 피싱 메일에서는 티스토리(Tistory) 관리자가 발송한 것처럼 구성되어 있으며, 한글로 작성되어 있지만 맞춤법에서 상당히 부자연스러운 것을 느낄 수 있습니다.

 

소중한 hummingbird,
위반으로 인해 귀하의 이메일이 정지 된 것으로보고되었습니다
tistory.com  정책 법. 귀하의 이메일 계정은 며칠 내에 삭제됩니다.
업데이트하려면 아래를 확인하십시오 hummingbird@tistory.com 수신 메시지에 대한 무제한 이메일 액세스

 

메일 내용에서는 티스토리 계정 이메일이 정지되어 며칠 내에 삭제 처리되므로 업데이트를 하라는 내용과 함께 "취소 비활성화" 버튼을 클릭하도록 유도하고 있습니다.

 

해당 버튼의 URL 속성값은 "storage.googleapis.com" 도메인을 사용하여 연결이 이루어지도록 구성되어 있는 것이 특징입니다.

 

storage.googleapis.com 연결 정보

 

"storage.googleapis.com" URL 값을 통해 연결이 이루어질 경우 최종적으로 브라질(.br) 부동산 관련 도메인 주소로 연결이 이루어지며 하위 주소는 티스토리 관련 정보를 포함하고 있습니다.

 

티스토리(Tistory) 피싱 사이트 (1)

 

웹 브라우저 상에서는 가짜 티스토리 로그인(Login) 페이지가 표시되어 세션 만료(Session Expired) 메시지와 함께 사전에 입력된 이메일 주소를 표시하여 비밀번호를 재입력하도록 유도하고 있습니다.

 

비밀번호(Password) 입력 시 전송 정보

 

만약 사용자가 피싱 사이트에 속아서 비밀번호를 입력하여 로그인을 시도할 경우 입력된 로그인 정보가 전송되는 것을 확인할 수 있습니다.

 

티스토리(Tistory) 피싱 사이트 (2)

 

만약 유효하지 않은 비밀번호를 입력할 경우에는 "Invalid Login" 메시지를 통해 다시 비밀번호를 입력하도록 체크하는 모습을 확인할 수 있습니다.

 

다음(Daum) 이메일 해지 경고 메일을 통한 계정 정보 수집 주의 (2020.3.3)

 

얼마 전 다음(Daum) 이메일 해지 경고 메일을 통한 계정 정보를 수집하는 피싱(Phishing) 메일에 대해서도 소개한 것처럼 최근 포털 사이트 또는 블로그 계정까지 노리는 사이버 공격이 활발하게 진행되는 것으로 보이므로 메일을 통해 계정 관련된 안내를 받을 경우 제시된 링크 주소를 꼼꼼하게 확인하도록 하시기 바랍니다.