넷플릭스(Netflix)를 사칭한 피싱 메일 유포 주의

ASEC(AhnLab SEcurity intelligence Center)는 최근 유명 OTT 플랫폼 넷플릭스(Netflix)를 사칭한 피싱 메일이 유포되고 있는 정황을 확인했다.

OTT 플랫폼은 우리가 일상적으로 많이 사용하는 콘텐츠이며, 최근 전 세계적으로 이용자 수가 증가하고 있다는 점에서 해당 소재를 이용한 피싱 메일에 각별한 주의가 필요한 상황이다. 

실제 피싱 메일의 본문은 아래와 같다. 공격자는 넷플릭스 구독 결제에 실패했음을 알리고 지불 방법(payment)을 수정하라는 내용으로 위장하였고, 하이퍼링크에 접속해 로그인을 하도록 유도했다.

 

[그림 1] 넷플릭스(Netflix)로 위장한 피싱 메일 본문

 

겉모습만 봐서는 피싱 메일이라고 의심하기 어려울 정도로 교묘하다. 특히, 공격자가 사용한 이메일은 “netflix-team[.]com”으로, 이메일의 출처(발신인)을 의심하기도 쉽지 않았다. 

해당 발신 주소는 공격자가 피싱을 위해 만든 도메인으로 추정되며, 넷플릭스에서 사용하고 있는 공식 메일이 아니다.

* 넷플릭스 공식 메일 발신인 주소 : netflix[.]com

 

[그림 2] 넷플릭스(Netflix)가 아닌 곳으로 연결되도록 설정된 하이퍼링크

 

공격자는 “Help Center”나 “Contact” 등 다른 하이퍼링크에는 관련 netflix 공식 홈페이지의 링크를 삽입하였고 오직 빨간색으로 강조된 “Update account now” 버튼에만 피싱 페이지의 URL을 삽입하였다. 

분석 당시 하이퍼링크에 연결된 해당 피싱 페이지는 비활성화 되어있어 추가적인 분석은 불가능했다. 하지만 해당 피싱 URL의 도메인 분석 결과, 정상적으로 서비스 중인 도메인이 아니며 하위 URL들에서 facebook과 google 등 유명 플랫폼의 CSS 파일들이 함께 발견된 정황으로 보아, 공격자가 다양한 소재를 활용하여 추가적인 피싱 페이지를 제작했을 것으로 보인다.

 

[그림 3] 하이퍼링크에 삽입된  URL의 도메인

 

공격자는 의심을 피하기 위해 정상 URL(넷플릭스의 공식 URL)도 본문에 섞어가며 피싱 메일을 제작하였으며 소재 또한 일반적인 대중들에게 친근한 OTT 플랫폼을 선택하였다.

이번 포스팅에서 소개한 케이스는 수없이 많은 사례 중에 하나일 뿐이며, 피싱 메일의 교묘한 수법은 날이 갈수록 발전할 것이다. 결국 필요한 것은 사용자의 보안 의식이다.

이메일 내부 하이퍼링크를 클릭하였을 경우 연결되는 URL을 반드시 확인해야하며, 가급적 하이퍼링크를 클릭하는 방식이 아닌 공식 홈페이지를 직접 접속하여 관련 내용을 확인하는 습관이 중요하다.

URL

https[:]//piscatoria[.]co[.]nz/r/CLT6c1Q