요즘 주변 지인 메일을 이용해서 악성 코드 전파가 많이 되고 있는 것 같은데요.
어떻게 지인 메일 계정의 암호를 빼내었을까 궁금할 텐데요~
얼마전에 수신한 악성 메일을 잠시 가지고 놀다가...
지인 메일 계정의 암호를 빼내어갈 수 있었던 간단한 방법을 알게 되었네요.
속임수에 속아넘어가는 인간의 헛점을 이용해서 빼내어 갔네요.
위의 이미지와 같은 메일이 오잖아요.
그럼... 의심없는 순진한 사람이라면, 요청한적이 없는 것 같은데... 무슨 내용이지?? 하면서 첨부 문서를 열어 보겠죠~
그럼, 위와 같은 포털 메일 로긴 창이 뜨게 됩니다.
우리 순진한 사용자께서는 어?? 다시 로긴해야겠다~ 며
자신의 id와 비밀번호를 입력해서 로긴을 하게 되겠죠.
여기 표시된 로긴 창은 해커가 만들어 둔 가짜 로긴창이 되겠는데,
이 창에서 id, 비밀 번호를 마음대로 입력해도 로긴된 것 처럼 보여 주면서...
문서를 보여 주게됩니다.
순진한 사용자가 입력한 계정 id와 비밀번호가 해커에게 전달된 상태가 되겠죠~
이 과정에서
랜섬웨어 암호화 처리가 진행될 수도 있겠고...
첨부된 file은
난독화 되어 있는데...
난독화 복호화해서...
form의 post하는 action URL을 보면 hongkmalls.info라는 주소가 나오고,
ip 주소가 198.50.160.198이 나오네요.
그리고, 이 ip를 whois 검색해 보면, 몬트리올에 있는 McGill College로 나오네요.
이 기법을 참고하시면 업무에 도움이 많이 되실걸로 보여 지네요~ ^^
12개의 댓글이 있습니다.
좋은 정보 감사합니다.
저희 회사에도 무심코 계정정보를 입력하는 경우가 많습니다. 많이 당하는 것 같아요.
보낸 사람 메일주소는 꼭 확인하라고 합니다.
업무메일인데 회사메일이 아닌 개인메일이면 일단 의심하고 열어보면 안되죠
지능화되는 범죄.
조심 해야겠네요
저는 개인적인 메일 주소로도 많이 오고 있습니다.(20년 전에 메일 주소를 많이 뿌려서...그때는 해킹이 없었어요)
하루는 정말 지인이 보낸 메일인줄 알고 열어볼뻔했는데, 보낸 메일 주소 미리보기 확인하니, 램덤용 메일 주소 였어요.
그냥 안보고, 지웠습니다.
그리고, 기관(은행 특히 국민은행), 카드 사용 내용, 약관, 메일로 확인하라는 내용이 오더라구요.
기존 기관들이 이런 업무를 하니, 해커에게 도로를 깔아준거죠.
사회공학적 기법의 일부로 많이 사용되는 것 같습니다.
귱굼허니 안열어보기도 쉽지 않아요~ㅎㅎ
지긋지긋하죠.
아주 오래전 부터 사용되고 있는 방법인데도 아직 넘어가는 사람들이 있으니 줄어들지를 않네요.
좋은정보 감사합니다
좋은정보 참고하겠습니다. 감사합니다.
예전에 거래했던 회사인데 담당자가 바뀌었나? 라는 생각을 들게 했다면, 당할 확률이 높을것 같습니다.
어 뭐지? 하고 생각하기보다 그냥 습관대로 일을 하는게 꽤 무서운 편이라 참 어려운 부분입니다.
그나마 외국어로 메일이 오면 조심들을 하는 편인데, 한국어로 업무연관성 있는 형태가 오면 맥락없이 당하기도 좋다는게 ㅠㅠ
점점 수법이 고도화되어 가네요...
1.내가 모르는 내용의 메일은 삭제한다. 중요한 것이면 연락온다.
2.발신자의 메일 주소를 확인하고 신뢰가 안되는 주소는 삭제한다.
대략 이정도만 지켜도 메일을 통한 공격은 대부분 차단이 가능하다고 생각합니다.