2024년 3분기 피싱 이메일 통계 보고서

개요

AhnLab SEcurity intelligence Center (ASEC)에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2024년 3분기(7월, 8월, 9월) 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge)를 뜻한다. 본 포스팅에서는 피싱이 주로 이메일로 유입되는 공격이라는 것에 주안점을 둔다. 그리고 피싱 이메일을 기반으로 하는 다양한 공격 방식들을 세부적으로 분류하였다. 그리고 기존에 발견되지 않은 새로운 유형이나 주의해야 할 이메일을 키워드와 함께 소개하여 사용자 피해를 최소화하려고 한다. 참고로 본 포스팅에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 첨부파일 없이 악성 링크만 본문에 포함된 이메일은 대상에서 제외한다.

 

목차

1. 개요 2. 통계 2.1 첨부파일 위협 유형 통계 2.2 첨부파일 확장자 유형 통계 2.3 한글 이메일 유포 사례 2.4 산업군별 피싱 이메일 유포 사례 3, 결론

 

통계

1) 첨부파일 위협 유형 통계

2024년 3분기 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 가짜 페이지(FakePage, 63%)로 공격자가 로그인 페이지, 광고성 페이지의 화면 구성, 로고, 폰트를 그대로 모방하였으며 사용자가 자신의 계정과 패스워드를 입력하도록 유도하여 공격자 C2 서버로 전송하거나, 가짜 사이트로 접속을 유도한다. 두 번째로 많은 위협 유형은 다운로더(Downloader, 15%)로 C2로부터 추가 악성코드를 다운로드 하는 악성코드 유형이며 대표적으로는 Guloader가 있다.  세 번째로 많은 위협 유형은 트로이목마(Trojan, 12%)이며 그 뒤로 사용자의 정보를 탈취하는 악성코드(Infostealer, 7%), 취약점(Exploit, 4%), 드로퍼(Dropper, 1%), 백도어(Backdoor, <1%)가 차례대로 따르는 것으로 확인되었다. 2024년 2분기 통계 대비 변화 추이는 대표적으로 가짜 페이지(FakePage, 63%)의 비율이 13%p 증가했고, 다운로더(Downloader, 15%) 악성코드의 비율이 2%p 증가하였다. 또한 트로이목마(Trojan, 12%)의 비율은 2%p 증가하고, 인포스틸러(Infostealer, 7%) 비율은 2%p 증가했다.

 

2) 첨부파일 확장자 유형 통계

2024년 3분기 피싱 이메일 첨부파일 확장자는 가장 많은 확장자 유형은 웹 페이지 스크립트(Script, 52%) 문서로 웹 브라우저로 실행되는 가짜페이지(FakePage)에 해당하며, 확장자는 HTML(30%), SHTML(13%), HTM(8%) 파일이 유포되었다. 두 번째로 많은 확장자 유형은 문서(Document, 20%)였다. PDF열람시 피싱 페이지로 유도하거나 XLS파일에 악성 매크로를 포함한 악성코드 등이 존재한다. 확장자는 PDF(12%), XLS(7%) 순으로 유포되었다. 이 외에 압축파일(Compress, 19%), 이미지파일(Image, 8%), 실행파일(PE, 1%) 이 확인되었다. 2분기 통계 대비 변화 추이는 전체적으로 계정 탈취 목적의 가짜 로그인 페이지 유형인 스크립트(Script, 52%) 유형이 2%p만큼 증가한 모습을 보였다. HTML(30%) 확장자의 비율이 7%p 감소했고 SHTML(13%)확장자의 비율이 6%p 증가했다. 상대적으로 문서(Document, 20%)의 비율이 8%p만큼 증가하였으며 압축파일(Compress, 19%)는 10%p만큼 대폭 하락하였다.