업무메일 위장 피싱공격 주의

안녕하세요.

기업의 하반기 사업이 본격적으로 시작됨에 따라 최근 견적의뢰서, 발주서 등 업무 관련 내용으로 위장한 피싱메일 유포 사례가 발견되었습니다.

 

1. 피싱이란?

 피싱은 악성 이메일을 받은 사람이 이메일을 열고 행동을 취하도록 속이려는 행위입니다. 이메일을 보내는 사람이 정부 부서, 공급업체, 비즈니스 고객 등, 믿을 만한 곳에서 이메일을 보낸 것처럼 꾸며 피해자를 속입니다.

피싱 이메일에는 PDF나 Word 문서와 같은 첨부 파일이 들어있지만, 열게 되면 사용자의 컴퓨터에 멀웨어(Malware)가 설치되어 피해를 줍니다. 또는, 피싱 이메일 본문에 악성 URL이 포함되어 있기도 합니다. 사용자가 해당 링크를 클릭하면 정상적으로 보이는 사이트로 연결되지만 실제로는 사용자 이름이나 비밀번호 같은 기밀 정보를 수집하거나 디바이스에 멀웨어가 설치됩니다.

공개된 업무메일 위장 피싱 공격은 아래와 같이 이루어집니다.

 

[견적의뢰서로 위장한 피싱 메일 예]

1. 공격자는 특정 기업을 사칭해 'OOO(특정 기업명) 견적의뢰서' 라는 제목과 첨부파일 실행을 유도하는 내용의 본문, 엑셀문서로 위장한 '견적의뢰서.xlsx.htm'이라는 제목의 인터넷 문서 파일(.htm)을 첨부한 메일을 피해 사용자에게 보냄

 

2. 사용자가 무심코 이 파일을 실행하면 포털 사이트 로그인 화면으로 위장한 피싱 페이지로 연결

 

[발주서로 위장한 피싱 메일 예]

1. 공격자는 'Purchase-Order. [Photos And Drawings]'라는 제목, 첨부파일 실행을 유도하는 내용의 본문, 'Purchase order.htm.rar' 압축파일을 첨부하여 피해 사용자에게 메일을 발송

 

2. 첨부된 압축파일을 압축해제 후 'Purchase order.htm.HTM' 파일을 실행하면 영문으로 된 가짜 포털 사이트로 위장한 피싱 페이지로 연결

 

 위 두 사례 모두 특정 국내 포털 사이트의 로그인 화면으로 위장한 피싱사이트로 사용자를 유도하며, 해당 피싱사이트에서 자신의 계정정보를 입력, 로그인을 시도하면 해당 계정정보는 공격자에게 전송되어 계정이 탈취되는 방식입니다.

 해당 피싱 사이트는 정상 로그인 페이지와 매우 유사하게 제작되었고, 로그인 시도 후 실제 포털 사이트의 로그인 페이지로 연결되기 때문에 사용자는 피싱을 의심하기 힘든 구조입니다.

 또한, 주문서나 견적의뢰서로 위장한 공격수법은 피싱 뿐만 아니라 랜섬웨어 등 악성코드 유포에도 자주 사용되는 방식이기 때문에 주의가 필요합니다.

 

 

※ 피해를 예방하기 위해서는 아래와 같은 보안수칙을 준수하여 주시기 바랍니다.

1. 메일 발신자 주소 꼼꼼히 확인

2. 출처가 불분명한 메일의 첨부파일 및 URL 실행 자제

3. 사이트 별로 다른 ID 또는 다른 비밀번호를 사용하여 최초 해킹 피해 시 추가 피해 확산 방지를 예방

4. V3 등 백신 프로그램의 최신 버전 유지 및 피싱 사이트 차단 기능 활성화

5. OS(Windows) 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 사용하는 프로그램의 최신 버전 유지 및 보안 패치 적용

 

 

감사합니다.

 

참고 :  https://www.dailysecu.com/news/articleView.html?idxno=111211