하이웍스 사칭해 메일 계정 탈취...자세하게 살펴보면 어색한 문장 확인 가능해

[보안뉴스 원병철 기자] 클라우드 그룹웨어 하이웍스를 사칭한 피싱메일이 19일 발송돼 사용자의 주의가 요구된다. 이번 피싱메일은 하이웍스 사용자를 노리고 있으며, 사용자 계정탈취가 주 목적으로 추정된다.


▲하이웍스를 사칭한 피싱메일[자료=보안뉴스]

19일 오전부터 발송된 이번 피싱메일은 ‘❶✉ 최종 공지’란 제목으로 ‘Hiworks/boannews.com’을 사칭해 발송됐다. 하지만 실제 발송주소는 ‘822367pyqoiwdcpv@mail.primus.ca’로 하이웍스와는 상관없는 주소였다.

본문 내용 또한 매끄럽기는 하지만 번역기의 도움을 받은 듯한 표현이 사용됐으며, 특히 ‘문안인사’나 ‘절차를 시작한 것으로 나타났습니다’와 같은 어색한 문장이 쓰였기 때문에 조금만 주의를 기울이면 이상하다는 것을 바로 알아챌 수 있다. 하지만 하이웍스 사용자이면서 주의 깊게 확인하지 않았을 경우 링크를 따라가 로그인하는 경우도 발생할 수 있다.


▲피싱메일을 클릭하면 가짜 로그인 창이 뜬다[자료=보안뉴스]

계정을 활성화하지 않았다는 것을 선택하는 ‘아니오, 내가 아니 었습니다’를 누를 경우 매우 정교하게 만든 하이웍스 로그인 창이 뜨며, 로그인할 경우 계정을 탈취당하는 것으로 알려졌다. 피싱메일을 분석한 문종현 이스트시큐리티 이사는 “이번 공격은 계정탈취가 주 목적인 것으로 보인다”면서, “발송자의 신원이 명확하지 않을 경우 첨부파일을 열어보거나 링크를 클릭하지 말고 자세하게 확인하라”고 조언했다.

한편, 하이웍스 운영사인 가비아는 “하이웍스 이용자가 올해 급격히 증가하다 보니 최근 사칭 메일이 지속적으로 문제가 되고 있다”면서, “이용자 분들께 피해가 없도록 하이웍스는 실시간 스팸 모니터링을 통해 지속해서 변형되는 악성 메일의 패턴을 파악하고, 이를 차단하도록 기술적으로 연구해 서비스에 적용하고 있다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>