첨부파일 열면 보안문서라며 이메일 인증 요구해

[보안뉴스 원병철 기자] 최근 네이버 스마트스토어를 위장해 사용자의 네이버 계정정보를 탈취하는 피싱메일이 발견돼 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(ESRC)는 피싱 이메일이 ‘***(수신자 이름) 당신에게 메세지를 보냈습니다’라는 제목으로 유포되고 있다고 밝혔다.


▲네이버 스마트스토어를 위장한 피싱 메일[자료=ESRC]

이번에 발견된 이메일은, 기존의 네이버 피싱들과는 다르게 PDF를 위장한 첨부파일을 포함하고 있다. 사용자가 첨부된 PDF 파일을 열면, 보안문서라는 문구와 함께 이메일 인증을 요구한다.


▲첨부되어 있는 PDF 파일[자료=ESRC]

사용자가 PDF 파일 내 로그인을 클릭하면 피싱 사이트는 사용자 PC를 식별, 고유의 파라미터 값을 추가해 네이버 로그인 페이지를 위장한 피싱 사이트로 리디렉션된다.


▲네이버 로그인 페이지를 위장한 피싱 사이트[자료=ESRC]

사용자가 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송된 후, 실제 네이버 로그인 페이지로 리디렉션된다. 단, 계정정보를 입력할 때 아이디만 입력하는 것이 아니라 이메일 전체 주소를 요구한다.

피싱 사이트
hxxps://purchaseorder.docuget[.]one/
hxxps://purchaseorder.docuget[.]one/08fdafc9044aba4786c56f056535f280/index.php?
파라미터값
198.54.115.118

이번에 발견된 이메일은 디자인이나 공격 방식이 다른 네이버 피싱 메일들과 비교했을 때, 많이 미흡해 사용자들이 피싱 메일이라는 것을 쉽게 알 수 있을 것으로 보인다. 하지만 최근 네이버를 위장한 피싱 메일이 증가하고 있으며, 대부분 매우 정교하게 제작되고 있기 때문에 사용자들의 각별한 주의가 요구된다.

이스트시큐리티 ESRC는 이러한 피싱 메일의 경우 계정정보 탈취를 목적으로 하고 있으며, 유출된 계정정보를 이용한 2차 피해가 발생할 수 있어 주의가 필요하다고 강조했다. 아울러 안전한 계정보호를 위해서 사용하는 웹사이트의 2단계 인증을 활성화하고, 각 웹사이트마다 다른 비밀번호를 사용할 것을 권장했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>