본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

국제 택배사를 위장하여 계정정보 탈취를 시도하는 피싱 메일 주의!

보안공지 2022-06-02



국제 택배사를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 

이번에 발견된 메일은 DHL을 위장하고 있습니다.

 

[그림 1] 국제 택배사를 위장하여 유포중인 피싱 메일


피싱 메일은 택배발송과 관련된 송장번호, 발송지 등의 내용이 포함시켜 사용자로 하여금 실제 DHL에서 보낸 것처럼 착각하도록 유도합니다. 피싱 메일에는 pdf 파일과 html 파일이 첨부되어 있으며, 이메일 본문에서 첨부되어 있는 파일들을 열어보라며 사용자의 실행을 유도합니다.  

만일, 사용자가 html 파일을 실행한다면 실제 DHL 페이지처럼 위장하고 있는 페이지가 나타납니다. 


​​


[그림 2] 계정정보 입력을 요구하는 페이지


해당 페이지에서는 고객 확인을 이유로 사용자로 하여금 계정정보의 입력을 유도합니다.  만일 사용자가 계정정보를 입력하고 Track Shipment를 클릭하면, 비밀번호가 잘못되었다며 재 입력을 요구합니다.  



[그림 3] 계정정보 재입력을 요구하는 페이지


[그림 4] 공격자 서버로 전송되는 계정정보



이는 피싱 공격자들이 자주 사용하는 방식으로, 비밀번호 재 입력을 통하여 사용자가 비밀번호를 잘못 입력했을 경우를 대비하고자 하는 것입니다.  

사용자가 또 한번 계정정보를 입력하면 역시나 비밀번호가 잘못되었다고 나오며, 잠시 후 공식 DHL 홈페이지로 리디렉션 됩니다. 



[그림 5] 리디렉션 되는 정상 페이지


사용자 여러분들께서는 출처가 불분명한 사용자에게서 수신한 이메일 내 첨부파일의 실행을 지양하시고, 계정이 유출되면 2차 피해가 발생할 수 있는 만큼 2단계 인증과 같은 추가 보호조치를 취해 놓으시길 권고 드립니다.