본문 바로가기

벌새::Analysis

견적 의뢰 메일로 MS 계정을 노리는 피싱(Phishing) 메일 주의 (2021.3.16)

반응형

최근 한글로 작성된 견적 의뢰 메일을 통해 마이크로소프트(Microsoft) 계정 정보를 수집하는 피싱(Phishing) 메일이 확인되어 살펴보도록 하겠습니다.

 

MS Office 365 계정을 노리는 피싱(Phishing) 사이트 주의 (2019.12.6)

 

다음(Daum), 네이버(Naver) 계정 모두를 수집하는 견적서 메일 주의 (2020.11.13)

 

메일 제목 : 견적의뢰 건

"견적의뢰 건" 제목으로 수신된 메일에서는 한글로 작성된 내용을 통해 견적 요청을 위한 발주서를 확인하도록 작성되어 있으며, 화면에서는 마치 Excel 문서가 첨부된 것처럼 보이지만 메일 소스를 확인해보면 URL 주소로 링크가 되어 있는 것을 알 수 있습니다.

 

메일 소스 정보

https://ioplast-mime-dsh.surge.sh/r.html?email=<메일 주소>

Excel 문서 이미지(cid:excel.png) 파일은 첨부 파일이 아니면 해당 영역을 클릭 시 특정 웹 서버(138.197.235.123:443)로 연결되며 연결 URL값에는 수신자의 메일 주소가 함께 포함되어 있습니다.

 

https://ioplast-mime-dsh.surge.sh/r.html?email=<메일 주소>

연결된 페이지에서는 총 4개의 연결 정보가 포함되어 있으며, 조건에 만족할 경우 다음과 같은 피싱(Phishing) 화면을 볼 수 있습니다.

 

가짜 MS OneDrive 피싱 화면

https://ioplast-mime-dsh.surge.sh/abexce<1~4>.html?email=<메일 주소>

피싱 사이트 화면에서는 마치 Microsoft OneDrive에 업로드된 Excel 문서를 확인할 수 있는 것처럼 구성되어 있으며, 접속 시 사용한 이메일 주소가 표시되어 있으며, 접속자로 하여금 비밀번호(Password)를 입력하도록 유도합니다.

 

계정 정보 유출 모습

https://learned-rain-single.glitch.me/ (52.3.182.213:443)

만약 접속자가 비밀번호를 입력한 후 "View Document" 버튼을 클릭할 경우 계정 유효성 검사를 진행하며, 입력한 정보는 또 다른 서버로 전송되는 것을 알 수 있습니다.

 

이렇게 수집된 MS 계정 정보는 외부에서 임의로 접근하여 업로드되어 있는 기업 문서 유출 등이 가능할 수 있으므로 메일에서 제공하는 링크를 통해 오픈된 웹 사이트에서 로그인을 요구할 경우에는 사이트 주소 등을 꼼꼼하게 확인하는 습관이 필요합니다.

728x90
반응형