‘이메일 용량 업그레이드’로 유혹하는 피싱..주의!

‘이메일 용량 업그레이드’로 유혹하는 피싱..주의! AhnLab / 2017-02-15         최근 ‘이메일 사서함 용량 무료 업그레이드’ 안내 메일로 위장한 피싱 메일이 유포되고 있다. 조악한 한국어로 제작되어 있지만, 부주의하게 내용을 살펴보지 않고 메일 내의 링크를 클릭해 피해가 발생하고 있다.   해당 메일은 [그림 1]과 같이 한글로 작성되어 있는데, 조금만 살펴보아도 문맥이나 표현 등 어색하고 조악하다는 것을 알 수 있다.   [그림 1] 피싱 메일 본문   메일 내용에 따라 업그레이드를 위해 본문에 포함된 링크를 클릭하면 [그림 2]의 피싱 페이지로 연결된다.   [그림 2] 피싱 페이지 화면   피싱 페이지는 사서함을 업그레이드하고자 하는 이메일의 계정 확인이 필요하다며 이메일 계정의 비밀번호 입력을 유도한다. 사용자가 계정 정보를 입력하면 해당 정보는 공격자에게 전송되는데, 이때 사용자의 의심을 피하기 위해 사용자를 [그림 3]과 같은 국내 유명 포털 사이트로 리다이렉트(Redirect) 시킨다.     [그림 3] 국내 유명 포털 사이트로 Redirect     공격자에게 전송되는 이메일 계정 정보를 분석한 결과, [그림 4]와 같이 ‘Referer’ 부분과 같이 연결되는 웹 페이지의 주소 정보가 komail.php로 나타났다. korea mail의 약자로 보이며, 이를 통해 해당 피싱 메일은 국내 사용자들을 타깃으로 제작 및 유포된 것으로 추정할 수 있다.     [그림 4] 전송되는 이메일 계정 정보     이렇게 탈취된 이메일 계정과 비밀번호는 블랙마켓을 통해 판매되거나 이후 2차, 3차 공격에 이용될 수 있어 사용자의 각별한 주의가 필요하다. 다른 사이버 공격에 비해 상대적으로 피싱은 사용자들이 조금만 더 주의를 기울이면 피해를 예방할 수 있다. 알 수 없는 발신자가 보낸 메일이나 메일 내용이 의심스러운 메일은 확인하지 않는 것이 바람직하고, 특히 첨부 파일이나 메일 본문의 링크는 클릭하지 않도록 주의해야 한다. 또 번거롭더라도 이메일 계정의 비밀번호는 주기적으로 변경하거나 OTP 인증이나 휴대폰 인증 등 추가 인증을 사용하는 것도 바람직하다.   안랩은 사용자들의 피싱 피해를 최소화하기 위해 자사 V3 제품을 통해 ‘피싱 사이트 차단’ 기능을 제공하고 있다. V3 제품의 환경 설정에서 해당 기능을 ‘사용’으로 선택해두면, 대부분의 피싱 사이트 접속 시 접근을 차단하고 알림창을 통해 사용자에게 피싱 사이트 위협을 안내한다.     [그림 5] V3 제품의 피싱 사이트 접근 차단 알림창