오늘은 북한 김수키(Kimsuky) 행정안전부 사칭 이메일 분석(2025.10.9)에 대해서 양자역학적으로 분석으로 해보겠습니다. wwww
해당 피싱 메일은 행정안전부에서 보낸 것으로 돼 있지만, 행안부에서 그런 것을 보낸 것이 아닌 피싱 메일 입니다.
피싱 메일 내용
새로운 전자문서가 도착했어요.
???**** 님, 지금 확인해보세요.
개인정보가 포함된 문서는 이용자 보호를 위해 열람 시 본인확인을 진행합니다.
발송기관: 행정안전부
열람기한:2025-10-31 23:59까지
기관에서 정식 발송된 문서는
네이버앱 에서 마이 에서 전자문서에 표시됩니다.
확인하러 가기
로 이루어져 있는 것이 특징입니다.
일단 이메일 보낸이 주소를 보면 아~네이버 전자문서에 날라온 것이 아닌 것을 확인할 수가 있습니다.
이메일 헤더 분석
moise-service(.)dynv6(.)net 시스템->Zoho ZeptoMail API 사용해 발송
ZohoMail360->네이버 수신 서버로 전달
네이버 서버에서 ARC, DKIM 등 모든 인증 결과 pass
접속 경로
hxxp://navrcorp(.)innerdoc(.)v6(.)rocks/mois/?wreply=????@naver(.)com&m=uggcf%3N%
2S%2Savq(.)anire(.)pbz%2Savqybtva.ybtva%3Shey%3Quggc%253N%252S%252Sznvy(.)
anire(.)pbz%252S이며 158(.)247(.)231(.)134 이고 AS 20473(AS-VULTR) 입니다.
HTTP Debugger Pro 로 보면 다음과 같은 결과를 확인할 수가 있습니다.
그리고 네이버 피싱 사이트로 이동을 하면 각각 비밀번호를 입력해 달고 하는 것을 확인할 수가 있으며 해당 부분에서 비밀번호를 입력하면 해당 해커 쪽으로 비밀번호가 전송됩니다. 만약 여기서 2단계 인증을 해놓았더라고 비밀번호를 변경하시는 것을 권장합니다.
여기서 어떻게 피싱 메일 인지 확인하는 방법은 간단합니다.
전자문서를 기본적으로 네이버 ID 가 아닌 자신의 이름으로 온다~그러면 아이디이다. OK 피싱 메일
그리고 핵심
naver_????_noreply@navercorp.com
navercorp.com 식으로 끝이 나게 돼 있습니다.
아무튼, 이런 방법을 자주 사용하는 것 같습니다.
아무튼, 보낸 이 주소를 잘 보면 쉽게 판단을 할 수가 있으며 n을 ln 처럼 m를 표시할 수가 있으니 월리를 찾아라~처럼 보면 잘 보이는 것을 확인할 수가 있으며 나는 아이폰이지~이러는데 아이폰도 피싱 방법은 작동하니 조심해야 할 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 윈도우 11 윈도우 10 KB5068861,KB5068865,KB5068781 누적 업데이트 (0) | 2025.11.13 |
|---|---|
| 북한 해킹 조직 김수키(Kimsuky)에서 만든 악성코드-ttt.bat (0) | 2025.11.12 |
| 북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-util.py (0) | 2025.11.11 |
| 김수키(Kimsuky) 한컴 에이전트-국내 A형간염 현황 및 예방접종 권고 대상자 안내.pdf.scr.exe (0) | 2025.11.08 |
| 구글 크롬 2026년 10월부터 HTTPS 기본 활성화 (0) | 2025.11.05 |
| 북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-nvidia.py (0) | 2025.11.04 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-rmod.msc (0) | 2025.10.31 |
| 모질라 파이어폭스 144.0.2 보안 업데이트 (0) | 2025.10.29 |
