유명 OTT 서비스를 사칭한 피싱 메일 주의

최근 AhnLab SEcurity intelligence Center(ASEC)에서는 유명 OTT 서비스를 사칭한 피싱 메일이 유포되고 있음을 확인했다. 이메일 본문에는 OTT 서비스의 구독 결제에 문제가 생겨 확인해 달라는 내용으로 위장하고 있으며, “지금 업데이트하기”라는 문구의 하이퍼링크를 클릭하도록 유도한다.

[그림 1] 피싱 이메일 본문

 

하이퍼링크를 클릭하여 피싱 사이트로 접속하면 [그림 2]와 같이 가짜 로그인 페이지로 접속하게 된다. 일반적인 피싱 메일의 경우 피싱 사이트에 사용자의 이메일 계정이 자동으로 입력되어 사용자의 계정을 변경하지 못하지만 이번 피싱 메일의 경우에는 피싱 사이트에서 사용자의 이메일 계정을 직접 입력하기 때문에 사용자가 피해를 당했다는 사실을 인지하지 못하도록 한다.

[그림 2] 로그인을 가장한 피싱 페이지

 

가짜 로그인 페이지에서 로그인을 시도하면 C2로 계정 정보와 비밀번호가 전송되게 된다. 이후 자동 갱신이 실패 했다는 페이지와 함께 “Resume my subscription”라는 문구를 클릭하도록 유도한다.

[그림 3] C2로 전송되는 계정 정보(전송된 계정과 비밀번호는 test용으로 사용하였다.)

[그림 4] 가짜 구독 갱신 페이지

 

해당 문구를 클릭하게 되면 [그림 5]와 같이 신용카드 정보를 기입하는 가짜 페이지로 Redirect 하게 된다. 해당 페이지는 가짜 로그인 페이지와 마찬가지로 [그림 6]과 같이 사용자의 이름, 전화번호, 신용카드 정보를 C2로 전송하게된다. [그림 5]에 작성된 사용자의 이름, 전화번호, 신용카드 정보는 분석을 위한 test 용으로 기입하였다.

[그림 5] 가짜 신용카드 정보 기입 페이지

[그림 6] C2로 전송되는 신용카드 정보(전송된 신용카드 정보는 test용으로 사용하였다.)

 

출처가 불분명한 이메일을 열람할 때는 사용자의 각별한 주의가 요구된다. 이메일의 발신자가 신뢰할 수 있는지 확인하고, 의심스러운 링크나 첨부 파일을 열지 않는 것이 중요하다. 특히, 개인 정보나 금융 정보를 요구하는 이메일은 더욱 신중하게 처리해야 한다. 최근에는 공격자가 정상적인 플랫폼을 C2 서버로 활용하는 사례가 계속 증가하고 있으며, 이러한 공격은 탐지하기 어려울 수 있으므로 사용자는 더욱 주의해야 한다.

URL

https[:]//ixz[.]rlj[.]mybluehost[.]me/ol282f645de/auth/processing[.]php