벌새::Analysis

다음(Daum) 메일 보류 경고 알림 메일을 통한 계정 정보 수집 메일 주의 (2021.7.22)

벌새 2021. 7. 22. 19:22
반응형

오래 전부터 국내 포털 사이트 계정 정보 수집 목적으로 불특정 다수에게 유포되는 피싱(Phisihing) 메일에 대해 지속적으로 소개한 적이 있었습니다.

 

다음(Daum) 계정을 노리는 "Duam Customer Care" 피싱 메일 주의 (2018.3.25)

 

다음(Daum) 계정을 노리는 "Critical alert for your account ID" 피싱(Phishing) 메일 주의 (2019.11.15)

 

다음(Daum) 이메일 해지 경고 메일을 통한 계정 정보 수집 주의 (2020.3.3)

 

이번에 살펴볼 메일은 국내 특정 기업 계정을 악용하여 발송한 것으로 보이며, 이로인하여 다음(Daum) 메일에서 스팸 처리가 이루어지지 않았다는 부분에서 피해자가 있을 수도 있습니다.

 

"알림 : 메일 보류 경고" 메일 화면

"알림 : 메일 보류 경고" 제목으로 수신된 메일은 다음(Daum)에서 발송한 것처럼 보여주고 있지만 발송자의 메일 주소가 국내 특정 기업 계정으로 추정됩니다.

 

메일 헤더 정보

해당 메일의 헤더 정보를 살펴보면 기업용으로 제공되는 하이윅스(Hiworks) SMTP 메일 계정을 통해 발송 처리가 이루어진 것을 확인할 수 있습니다.

 

메일 내용에서는 메일 계정에 대기 중인 이메일이 있으므로 복원을 위해 버튼을 클릭하도록 안내하고 있습니다.

 

"지금 복원" 버튼 링크 정보

메일에 표시된 "지금 복원" 버튼의 속성값을 확인해보면 Google에서 제공하는 Firebase 호스팅 서비스를 통해 "https://mygenkoreaappsconfig222222.firebaseapp[.]com/#aHVtbWluZ2JpcmRAdGlzdG9yeS5jb20" 사이트로 연결이 이루어지도록 구성되어 있습니다.

 

피싱(Phishing) 사이트 연결 정보

사용자가 버튼을 클릭하여 연결을 진행하는 과정에서 또 다른 사이트로 연결을 하면서 사용자 이메일 주소값을 추가하도록 되어 있습니다.

 

이메일 주소값이 추가된 연결 정보

이를 통해 사용자 이메일 주소값이 자동으로 추가되어 "https://desertridgepools[.]com/webmailzone/daum?ext_user=<사용자 이메일 주소>" 사이트로 연결이 완료됩니다.

 

가짜 다음(Daum) 로그인 페이지

연결된 사이트는 다음(Daum) 로그인 페이지 모양으로 구성된 피싱(Phishing) 사이트이며, 연결값에 포함된 이메일 주소는 사전에 입력되도록 되어 있습니다.

 

"https://desertridgepools.com" 웹 서버 인증서

또한 연결된 사이트는 HTTPS 보안 연결 주소를 가지고 있으며 정상적인 인증서가 존재하여 자칫 사용자에게 신뢰감을 줄 수 있습니다.

 

다음(Daum) 계정 정보 전송 모습

만약 접속자가 비밀번호를 추가 입력하여 로그인을 시도할 경우 해당 웹 서버로 이메일 주소와 비밀번호가 전송되는 것을 확인할 수 있습니다.

 

이번 피싱(Phishing) 메일의 경우 최초 발신자가 국내 기업 메일 계정을 탈취당하여 악용된 것으로 보이며, 연결되는 사이트 역시 HTTPS 연결 방식으로 접속된 사이트의 주소를 제대로 확인하지 않고 로그인을 시도할 경우 계정 정보가 외부에 노출되어 제2의 피해를 당할 수 있다는 점에서 주의하시기 바랍니다.

320x100
반응형