2024.03.29 (금)

  • 맑음속초11.5℃
  • 황사9.5℃
  • 맑음철원6.7℃
  • 맑음동두천6.6℃
  • 맑음파주5.9℃
  • 맑음대관령3.9℃
  • 맑음춘천9.7℃
  • 맑음백령도5.3℃
  • 황사북강릉11.8℃
  • 맑음강릉11.9℃
  • 맑음동해11.9℃
  • 황사서울7.6℃
  • 맑음인천7.0℃
  • 맑음원주9.2℃
  • 황사울릉도11.6℃
  • 맑음수원6.6℃
  • 맑음영월9.2℃
  • 맑음충주9.3℃
  • 맑음서산5.9℃
  • 맑음울진12.9℃
  • 연무청주9.8℃
  • 박무대전8.4℃
  • 맑음추풍령9.8℃
  • 황사안동11.0℃
  • 맑음상주11.0℃
  • 황사포항15.6℃
  • 맑음군산7.1℃
  • 황사대구15.0℃
  • 박무전주8.7℃
  • 맑음울산14.9℃
  • 연무창원13.6℃
  • 박무광주10.5℃
  • 연무부산13.8℃
  • 맑음통영13.2℃
  • 박무목포9.8℃
  • 박무여수13.4℃
  • 박무흑산도8.9℃
  • 맑음완도12.7℃
  • 맑음고창7.1℃
  • 맑음순천11.2℃
  • 박무홍성(예)7.0℃
  • 맑음8.4℃
  • 연무제주14.8℃
  • 맑음고산13.1℃
  • 맑음성산12.9℃
  • 박무서귀포13.6℃
  • 맑음진주14.4℃
  • 맑음강화6.5℃
  • 맑음양평9.0℃
  • 맑음이천7.6℃
  • 구름조금인제10.0℃
  • 맑음홍천8.9℃
  • 맑음태백5.6℃
  • 맑음정선군7.2℃
  • 맑음제천8.0℃
  • 맑음보은9.4℃
  • 맑음천안8.8℃
  • 맑음보령5.1℃
  • 맑음부여6.5℃
  • 맑음금산8.5℃
  • 맑음8.7℃
  • 맑음부안7.9℃
  • 맑음임실8.0℃
  • 맑음정읍7.8℃
  • 맑음남원9.8℃
  • 맑음장수9.0℃
  • 맑음고창군6.4℃
  • 맑음영광군7.0℃
  • 맑음김해시13.8℃
  • 맑음순창군8.9℃
  • 맑음북창원14.1℃
  • 맑음양산시14.6℃
  • 맑음보성군11.8℃
  • 맑음강진군12.9℃
  • 맑음장흥12.6℃
  • 맑음해남12.2℃
  • 맑음고흥12.7℃
  • 맑음의령군14.4℃
  • 맑음함양군11.9℃
  • 맑음광양시12.3℃
  • 맑음진도군11.3℃
  • 맑음봉화10.0℃
  • 맑음영주9.8℃
  • 맑음문경10.2℃
  • 맑음청송군11.3℃
  • 맑음영덕13.4℃
  • 맑음의성11.8℃
  • 맑음구미13.0℃
  • 맑음영천13.1℃
  • 맑음경주시16.1℃
  • 맑음거창11.6℃
  • 맑음합천14.0℃
  • 맑음밀양15.6℃
  • 맑음산청12.9℃
  • 맑음거제13.7℃
  • 맑음남해13.9℃
  • 맑음14.2℃
기상청 제공
안랩, 업무메일 위장해 포털 계정탈취 시도하는 피싱 공격 주의 당부
  • 해당된 기사를 공유합니다

이중원

안랩, 업무메일 위장해 포털 계정탈취 시도하는 피싱 공격 주의 당부

3554238800_20200714113815_4219215221.jpg

                                                                               견적의뢰서 위장 피싱 메일

 

안랩(대표 강석균)이 최근 견적의뢰서, 발주서 등 업무 관련 내용으로 위장한 피싱 메일 유포 사례를 잇따라 발견해 사용자의 주의를 당부했다.

먼저 ‘견적의뢰서’ 위장 메일의 경우 공격자는 특정 기업을 사칭해 ‘OOO(특정 기업명) 견적의뢰서’라는 제목의 메일을 보냈다. 본문에는 ‘견적서를 부탁한다’는 내용을 적고 엑셀 문서로 위장한 ‘견적 의뢰서.xlsx.htm’이라는 제목의 인터넷 문서 파일(.htm)을 첨부했다. 만약 사용자가 무심코 이 파일을 실행하면 포털 사이트 로그인 화면으로 위장한 피싱 페이지로 연결된다.

발주서를 위장한 영문 피싱 메일도 발견됐다. 러시아어로 된 발신자명을 사용한 공격자는 ‘Purchase-Order.[ Photos And Drawings]’라는 제목의 메일을 발송했다. 메일에는 ‘Purchase order.htm.rar’라는 파일명의 압축파일을 첨부했고 본문에는 ‘이미 안내드린 바와 같이 주문 요건에 대한 확인이 필요하다’는 내용을 적어 첨부파일 실행을 유도했다. 사용자가 첨부파일의 압축해제 후 ‘Purchase order.htm.HTM’라는 파일을 실행하면 영문으로 된 가짜 포털사이트 로그인 화면이 나타난다.

두 사례 모두 특정 국내 포털 사이트의 로그인 화면으로 위장한 피싱 사이트로 사용자를 유도한다. 사용자가 자신의 계정정보를 입력하고 로그인 버튼을 누르면 해당 정보는 즉시 공격자에게 전송된다. 해당 피싱 사이트는 정상 로그인 페이지와 매우 유사하게 제작되었고 전송 후에는 실제 포털 로그인 페이지로 연결되기 때문에 사용자는 피싱을 의심하기 힘들다.

피해를 예방하기 위해서는 △메일 발신자 주소 꼼꼼히 확인 △출처가 불분명한 메일의 첨부파일 및 URL 실행 자제 △사이트별로 다른 ID 및 비밀번호 사용 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 등 기본 보안수칙 실행이 필수다.

현재 V3 제품군은 해당 피싱 URL 접속 시 사이트 접근을 차단하고 있다(‘피싱 사이트 차단’ 기능 활성화 필요).

안랩 분석팀 이가영 연구원은 “주문서나 견적의뢰서로 위장한 공격 수법은 피싱뿐만 아니라 랜섬웨어 등 악성코드 유포에도 자주 사용되는 방식”이라며 “잠깐의 실수로 조직 전체에 큰 피해를 줄 수도 있기 때문에 이메일 발신자를 잘 확인하고 출처가 불분명한 메일의 첨부파일 실행을 자제하는 등 기본 보안수칙 준수가 필요하다”고 말했다.