㈜소프트이천

안랩은 최근 유명 OTT 서비스를 사칭해 개인정보와 결제 정보를 탈취하려는 정교한 피싱 메일이 유포되고 있는 정황을 확인했다. 공격자는 구독 결제에 문제가 발생했다는 내용으로 사용자의 불안 심리를 자극한 뒤, ‘지금 업데이트하기’ 문구에 걸린 하이퍼링크를 클릭해 가짜 로그인 페이지로 이동하도록 유도하는 방식을 사용했다. 특히 이메일 주소를 자동으로 삽입하는 기존 피싱 수법과 달리, 사용자가 직접 계정을 입력하도록 해 피해 사실을 인지하지 못하도록 위장한 점이 특징이다. 이번 피싱 공격이 어떤 방식으로 전개됐는지 살펴보자.

[그림 1] 피싱 이메일 본문

해당 하이퍼링크를 클릭하면 [그림 2]와 같은 가짜 로그인 페이지로 접속하게 된다. 일반적인 피싱 메일은 URL에 수신자의 이메일 주소를 포함해 피싱 사이트 접속 시 로그인 창에 계정이 자동으로 채워지도록 하는 경우가 많다. 반면 이번 피싱 메일은 로그인 페이지에서 사용자가 직접 이메일 계정을 입력하도록 유도해, 사용자가 평소 로그인 과정과 다르지 않다고 느끼고 피싱임을 눈치채기 어렵게 만든다.

[그림 2] 로그인을 가장한 피싱 페이지

가짜 로그인 페이지에서 로그인을 시도하면 C2 서버로 계정 정보와 비밀번호가 전송된다. 이후 자동 갱신이 실패했다는 페이지와 함께 “Resume my subscription” 문구를 클릭하도록 유도한다.

[그림 3] C2로 전송되는 계정 정보(test용)

[그림 4] 가짜 구독 갱신 페이지

해당 문구를 클릭하면 [그림 5]와 같이 신용카드 정보를 기입하는 가짜 페이지로 리다이렉트된다. 해당 페이지는 가짜 로그인 페이지와 마찬가지로 [그림 6]처럼 사용자의 이름과 전화번호, 신용카드 정보를 C2로 전송한다.

[그림 5] 가짜 신용카드 정보 기입 페이지

[그림 6] C2로 전송되는 신용카드 정보(test용)

출처가 불분명한 이메일을 열람할 때는 무엇보다 신중한 대응이 필요하다. 이메일 발신자가 실제로 신뢰할 수 있는지 확인하고, 의심스러운 링크나 첨부 파일을 열어보지 않는 것이 중요하다. 특히 개인정보나 금융 정보를 요구하는 이메일은 한 번 더 진위를 확인하는 등 보다 신중하게 처리해야 한다. 최근에는 공격자가 정상적인 플랫폼을 C2 서버로 악용하는 사례가 계속 증가하고 있어, 이런 공격은 보안 시스템을 피해 눈에 띄지 않게 진행되는 경우가 많다. 따라서 사용자는 평소보다 한층 더 주의를 기울일 필요가 있다.

출처 : AhnLab