[엘에스화장품] 발주서로 위장한 피싱 메일 주의보
안녕하세요, 오늘은 최근에 발견된 피싱 메일 사례에 대해 이야기해보려고 합니다. 이번 피싱 메일은 한국의 화장품 업체인 LS 화장품으로 위장하여 한국 장학재단을 노리는 형태로 발송되었습니다. 이와 같은 피싱 메일은 개인 정보와 금융 정보를 탈취하려는 목적으로 발송되므로 각별한 주의가 필요합니다.
이메일 내용 분석
해당 피싱 메일의 주요 내용은 다음과 같습니다
- 수신자 (주)??기획
- 발신자 (주) 엘에스화장품
- 발행일자 2023/08/31
- 이메일 주소 ????@lscosmetic.com
- 연락처 070-????-????
- 메모 "안녕하세요, 발주서 송부드리오니 일정 확인 부탁합니다. 감사합니다."
이메일의 내용은 매우 간단하지만, 발주서라는 중요한 문서를 첨부하여 수신자가 이를 열어보도록 유도하고 있습니다.이메일 헤더 분석이메일 헤더를 통해 해당 메일이 실제로 신뢰할 수 있는 발신자로부터 온 것인지 확인할 수 있습니다. 아래는 이메일 헤더의 주요 내용입니다
위 내용을 통해 해당 이메일이 SPF(발신자 정책 프레임워크) 검사를 거쳤으며, softfail 결과를 얻었다는 것을 알 수 있습니다. 이는 이메일 서버가 해당 IP 주소를 허용된 발신자로 지정하지 않았음을 의미합니다.이메일 송신 정보Received-SPF softfail (localhost transitioning SPF record at spf2.ecounterp.com does not designate 129.154.203.146 as permitted sender) Authentication-Results spam.kosaf.go.kr; spf=softfail (localhost transitioning SPF record at spf2.ecounterp.com does not designate 129.154.203.146 as permitted sender) smtp.mailfrom=ecount@ecounterp.com - 송신자 ecount@ecounterp.com
- 송신 IP 주소 129.154.203.146
- 송신 국가 대한민국 (South Korea)수신 정보
- 수신자 ?????@kosaf.go.kr이메일 날짜
- 날짜 2023년 8월 30일 201037 +0000첨부 파일 분석해당 이메일에는 HTML 형식의 첨부 파일이 포함되어 있습니다. 파일명은
New order_20230831.html이며, 이를 실행하면 미리 준비된 로그인 화면이 나타납니다.파일 해시 정보
| 해시 종류 | 값 |
|---|---|
| CRC32 | 3f0bd61f |
| MD5 | 6aaf7425f39eba2f54d219bc536a3a01 |
| SHA-1 | a99c7143d0d273b4ab40eb21267097912dc6b2c5 |
| SHA-256 | 060fbd9942793f5503061d9f63ed20dc4db24e7258711d051cff8eda99feb3a6 |
HTTP Debugger Pro를 통한 피싱 사이트 분석
HTTP Debugger Pro를 사용하여 피싱 사이트가 어떤 정보를 수집하는지 확인해보았습니다.
HTTP/1.1 200 OK
Server nginx/1.18.0
Date Wed, 13 Sep 2023 045433 GMT
Content-Type application/json
Connection keep-alive
Strict-Transport-Security max-age=31536000; includeSubDomains; preload
Access-Control-Allow-Origin *
Access-Control-Allow-Methods GET, POST, OPTIONS
Access-Control-Expose-Headers Content-Length,Content-Type,Date,Server,Connection
Content-Length 389
{"ok"true,"result"{"message_id"13777,"from"{"id"6392420017,"is_bot"true,"first_name""hsdhgdy6377782bot","username""hsdhgdy6377782_bot"},"chat"{"id"6524620450,"first_name""Inc","type""private"},"date"1694580873,"text""+===========OFFICE LOGIN =======\n[IP] \n[EMAIL] ??????@kosaf.go.kr\n[PASSWORD] Test123@s","entities"[{"offset"53,"length"21,"type""email"}]}}위 로그를 통해 피싱 사이트가 사용자의 이메일과 비밀번호를 수집하는 것을 확인할 수 있습니다.
바이러스 토탈 탐지 결과
2023년 9월 13일 기준으로 바이러스 토탈에서 해당 파일을 탐지한 보안 업체들은 다음과 같습니다
| 보안 업체 | 탐지 결과 |
|---|---|
| AhnLab-V3 | Phishing/HTML.SendTelegram.S2342 |
| ALYac | JSTrojan.Cryxos.13009 |
| Arcabit | JSTrojan.Cryxos.D32D1 |
| BitDefender | JSTrojan.Cryxos.13009 |
| Emsisoft | JSTrojan.Cryxos.13009 (B) |
| eScan | JSTrojan.Cryxos.13009 |
| ESET-NOD32 | HTML/Phishing.Agent.EST |
| Fortinet | JS/Agent.EST!tr |
| GData | JSTrojan.Cryxos.13009 |
| MAX | Malware (ai Score=81) |
| Trellix (FireEye) | JSTrojan.Cryxos.13009 |
| VIPRE | JSTrojan.Cryxos.13009 |
| Zoner | Probably Heur.HTMLUnescape |
결론 및 예방 방법
피싱 메일은 점점 더 정교해지고 있으며, 이를 방지하기 위해서는 기본적인 보안 수칙을 철저히 지키는 것이 중요합니다. 다음과 같은 방법을 통해 피싱 메일로부터 자신을 보호할 수 있습니다
- 이메일 발신자 확인 의심스러운 이메일의 발신자를 반드시 확인하세요.
- 첨부 파일 주의 출처가 불분명한 첨부 파일은 절대 열지 마세요.
- 백신 소프트웨어 사용 최신 백신 소프트웨어를 사용하여 악성 코드를 차단하세요.
- SPF 검사 확인 이메일 헤더를 통해 SPF 검사를 확인하고 softfail 결과가 나온 경우 주의하세요.
이와 같은 기본적인 보안 수칙을 지키면 피싱 메일로부터 안전하게 컴퓨터를 사용할 수 있습니다. 항상 주의하시고 안전한 인터넷 생활을 하시길 바랍니다!
01234567891011121314