‘비정상적인 결제 시도 알림’으로 위장한 피싱, 주의!

‘비정상적인 결제 시도 알림’으로 위장한 피싱, 주의! AhnLab ASEC대응팀 / 2018-03-07     또 다시 유명 IT 업체를 사칭한 피싱 메일이 유포되고 있다. 특히 이번에 발견된 피싱 메일은 ‘비정상적인 거래 시도’ 등의 내용으로 위장, 첨부 파일까지 그럴듯한 한국어로 작성되어 있어 사용자들의 더욱 각별한 주의가 요구된다.   [그림 1]은 지난해 연말에 이어 최근 애플(Apple)사를 사칭해 유포되고 있는 피싱 메일이다. 한 피싱 메일로, 메일 본문의 내용이 매우 유사하지만 전체적인 내용 구성이나 첨부 파일이 좀 더 정교해졌다.   [그림 1] 최신 애플 사칭 메일 (왼쪽)과 지난해 사칭 메일 (오른쪽)   이번에 유포된 애플 사칭 피싱 메일([그림 1] 왼쪽)의 첨부 파일을 열면 [그림 2]와 같이 ‘보안 관련 문제가 발생했다’는 내용이 나타나고 사용자로 하여금 피싱 사이트에 접속하도록 유도한다. 지난 해 발견된 사례와 달리 이번에는 첨부 파일까지 한국어로 작성되어 있다.   [그림 2] 한국어로 작성된 PDF 첨부 파일   사용자가 [그림 2]에 나타난 ‘행동을 취하다’라는 버튼을 클릭하면 정상 애플 계정 관리 페이지처럼 보이는 웹사이트로 연결되며, 사용자의 신용카드 정보와 개인 정보를 요구한다. 그러나 사용자가 크롬(Chrome) 브라우저를 이용하고 있을 경우, 해당 웹사이트로 연결되는 대신 [그림 3]과 같이 보안 경고가 나타난다.   [그림 3] 크롬 브라우저에서 차단된 피싱 사이트   V3 제품군에서는 해당 피싱 메일의 악성 PDF 첨부 파일을 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - PDF/Phishing   ▶ '고도화된 이메일 공격에 맞서는 3가지 방법' 바로가기   신뢰할 수 있는 사이트로 위장해 사용자의 민감한 정보를 탈취하는 ‘피싱’은 오래된 공격 방법임에도 불구하고 지속적으로 피해를 낳고 있다. 최근에는 메일 발신자 계정이나 메일 제목, 내용 등이 더욱 교묘해져 사용자의 각별한 주의가 필요하다. 특히 주민등록번호, 신용카드 번호, 비밀번호 등 민감한 정보를 입력하기 전에 접속한 사이트가 정상 사이트가 맞는지 반드시 확인하는 습관이 필요하다. 인터넷 익스플로러(IE)나 크롬 등의 주요 웹 브라우저 프로그램은 [그림 4]와 같은 방식으로 정상 사이트 여부를 알려준다.   [그림 4] 주요 웹 브라우저의 정상 사이트 표시