일부 이메일 경우에는 발신자 주소도 ‘buykorea.or.kr’로 변경하는 치밀함도 보여
[보안뉴스 김영명 기자] 올해 6월부터 대한무역투자진흥공사(KOTRA, 코트라)의 수출지원플랫폼 ‘바이코리아(buyKOREA)’를 위장한 피싱 메일이 대량으로 유포되고 있는 것으로 드러났다. 바이코리아 피싱 메일은 불특정 다수의 기업 이메일로 유포되고 있으며, 그 종류도 다양해 기업 담당자들의 세심한 주의가 필요하다.
▲buyKOREA 사칭 피싱메일[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면, 이번 바이코리아를 위장한 피싱 메일 공격자는 피싱 메일 제목에 ‘buyKOREA’ 혹은 ‘KOTRA’ 키워드를 추가해 수신자의 열람을 유도하고 있다. 확인된 일부 이메일의 경우에는 발신자 주소 역시 ‘buykorea.or.kr’로 변경해 발송하는 치밀함을 보이기도 했다.
현재까지 ESRC에서 수집한 바이코리아 사칭 피싱 메일의 제목들은 △(buyKOREA) Charp corp sent you a business proposal △[KOTRA 산티아고 무역관] 문의사항 △[buyKOREA] Starlight Homes Co., Ltd business proposal △[buyKOREA] You have 1 new PO inquiry △[buyKOREA] picture tee co., ltd business inquiry △[buyKOREA] Bulk order (No. 134638) from Mini Corp. △[buyKOREA] business proposal (No. 78812) from Mini Corp. 등이 있다.
특히, 해당 피싱 메일 내에는 [inquiry box] 버튼이 있으며, 사용자가 해당 버튼을 누르면 공격자가 제작해 놓은 피싱 페이지로 이동해 계정정보 탈취를 시도한다. ESRC에서 확인한 피싱 페이지는 두 가지 종류이며, 디자인은 조금 다르지만 두 개의 피싱 페이지 모두 사용자의 로그인을 유도하고 있다. 만일, 사용자가 해당 팝업 창에 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송되며 공격이 종료된다.
▲피싱 페이지 화면 모습[자료=이스트시큐리티]
ESRC 관계자는 “ESRC에서 오래전부터 KOTRA를 가장한 피싱 메일에 대해 주의를 당부한 적이 있으며, 이와 관련해 지속해서 모니터링을 해오고 있었다”고 말했다. 이어 “피싱 공격이 날로 정교해지고 있어 기업 임직원들은 의심스러운 이메일 내 링크 클릭을 지양해야 하며, 페이지 접속 시 접속 페이지의 URL을 확인하는 습관을 길러야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
[보안뉴스 김영명 기자] 올해 6월부터 대한무역투자진흥공사(KOTRA, 코트라)의 수출지원플랫폼 ‘바이코리아(buyKOREA)’를 위장한 피싱 메일이 대량으로 유포되고 있는 것으로 드러났다. 바이코리아 피싱 메일은 불특정 다수의 기업 이메일로 유포되고 있으며, 그 종류도 다양해 기업 담당자들의 세심한 주의가 필요하다.
▲buyKOREA 사칭 피싱메일[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)의 분석에 따르면, 이번 바이코리아를 위장한 피싱 메일 공격자는 피싱 메일 제목에 ‘buyKOREA’ 혹은 ‘KOTRA’ 키워드를 추가해 수신자의 열람을 유도하고 있다. 확인된 일부 이메일의 경우에는 발신자 주소 역시 ‘buykorea.or.kr’로 변경해 발송하는 치밀함을 보이기도 했다.
현재까지 ESRC에서 수집한 바이코리아 사칭 피싱 메일의 제목들은 △(buyKOREA) Charp corp sent you a business proposal △[KOTRA 산티아고 무역관] 문의사항 △[buyKOREA] Starlight Homes Co., Ltd business proposal △[buyKOREA] You have 1 new PO inquiry △[buyKOREA] picture tee co., ltd business inquiry △[buyKOREA] Bulk order (No. 134638) from Mini Corp. △[buyKOREA] business proposal (No. 78812) from Mini Corp. 등이 있다.
특히, 해당 피싱 메일 내에는 [inquiry box] 버튼이 있으며, 사용자가 해당 버튼을 누르면 공격자가 제작해 놓은 피싱 페이지로 이동해 계정정보 탈취를 시도한다. ESRC에서 확인한 피싱 페이지는 두 가지 종류이며, 디자인은 조금 다르지만 두 개의 피싱 페이지 모두 사용자의 로그인을 유도하고 있다. 만일, 사용자가 해당 팝업 창에 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송되며 공격이 종료된다.
▲피싱 페이지 화면 모습[자료=이스트시큐리티]
ESRC 관계자는 “ESRC에서 오래전부터 KOTRA를 가장한 피싱 메일에 대해 주의를 당부한 적이 있으며, 이와 관련해 지속해서 모니터링을 해오고 있었다”고 말했다. 이어 “피싱 공격이 날로 정교해지고 있어 기업 임직원들은 의심스러운 이메일 내 링크 클릭을 지양해야 하며, 페이지 접속 시 접속 페이지의 URL을 확인하는 습관을 길러야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
