최근 한국어로 작성된 DHL 배송 관련 조회 및 문서를 확인하도록 유도하는 피싱(Phishing) 메일이 확인되어 살펴보도록 하겠습니다.
DHL Korea에서 발송한 것처럼 구성된 "DHL 패키지 배송 실패" 제목으로 수신된 메일에서는 "고객의 지시에 따라 오늘 소포가 발송되었습니다. 추적 정보를 얻으려면 첨부 된 매니페스트를 참조하십시오. 첨부 된 AWB 세부 정보를 확인하고 확인합니다." 내용을 통해 "문서 및 조회 번호 보기" 링크를 클릭하도록 유도하고 있습니다.
메일에 포함된 링크는 드롭박스(Dropbox) 링크로 연결되어 있으며, 사용자가 클릭할 경우 HTM 문서 파일(SHA-1 : a2813fc0f5ec8b063696954d9189dbc54d0c9ca9 - AhnLab V3 : Phishing/HTML.Generic.S1156)이 다운로드됩니다.
다운로드한 HTM 문서 파일을 오픈할 경우 "DHL 파트너와 이메일 제공 업체, 올바른 이메일 및 비밀번호로 로그인하여 패키지 확인 및 수신"이라는 다소 어색한 한국어 안내 메시지가 표시됩니다.
열린 HTM 문서는 DHL Korea 웹 사이트에서 제공하는 화면을 도용하고 있으며, 최상위에 이메일과 암호를 입력하는 로그인 폼을 노출하고 있습니다.
https://www.metklm.com/kr/dhs.php (138.201.31.212:443)로그인 폼 소스를 확인해보니 외부의 특정 서버로 정보를 전송하도록 구성되어 있는 것을 알 수 있습니다.
실제로 이메일 주소와 암호를 입력하여 로그인을 시도할 경우 해당 서버로 정보가 전송되는 것을 확인할 수 있습니다.
서버로 계정 정보 전송이 이루어진 후에는 자동으로 PDF 문서 파일을 볼 수 있는 PDF Host 서비스에 업로드되어 있는 특정 DHL 송장 문서 파일(PDF)을 오픈하도록 구성되어 있습니다.
PDF 문서를 통해 DHL 송장 정보를 노출시켜 일시적으로 사용자를 속이려는 것으로 보입니다.
이런 류의 메일은 실제 DHL 서비스를 이용하고 있던 사용자인 경우 실수를 할 수 있으므로 메일 첨부 파일 또는 링크를 클릭할 경우에는 URL 주소나 파일의 안정성 여부를 꼼꼼하게 확인하는 습관이 필요하겠습니다.