한전 전기 요금 청구서로 위장한 피싱 메일 분석

오늘은 한전 전기 요금 청구서로 위장한 피싱 메일 분석을 해보겠습니다. 해당 피싱 메일은 일단 해당 피싱 메일은 경기도 서남부권과 인천광역시 지역권의 도시가스, 민자발전, 집단에너지 등의 사업을 하는 곳을 노렸습니다.
이메일 내용을 보면 한국전력 전기요금 청구서로 돼 있으며 billkorea(빌코리아) 에서 발신한 것처럼 돼 있지만, 해당 업체 하고는 전혀 상관없는 곳입니다.
발신자 표시명: 빌코리아->한국 업체처럼 보이도록 위장
실제 발신 주소:billkorea@lknight(.)info->billkorea와 상관 없는 부분
발신 도메인:lknight.info->업무,청구서 발송 도메인 아님
발신 IP:173(.)212(.)214(.)14->독일(DE) 소재로 표시됨
수신자:????@samchully(.)co(.)kr->특정 기업 계정 대상
SPF pass:도메인 소유자가 해당 IP 발송을 허용했다는 뜻일 뿐 정상 메일 보장은 아님
DKIM:존재->lknight(.)info 도메인 기준 서명으로 보임
제목:2026년 05월 20일 한전 전기요금 청구서입니다->한국전력/전기요금 사칭

한전 사칭 피싱 메일

해당 링크를 눌러주면 다음 피싱 사이트로 이동을 합니다.
hxxps://storage(.)googleapis(.)com/b-ill04/april-ngx/bill04.html#/.s(u)dj.3RZJ2SF.aHR......
일단 해당 사이트 접속을 하고 나서 비밀번호를 입력하면  Telegram Bot API 사용을 해서 아이디 및 비밀번호를 텔레그램으로 유출합니다.
수집된 정보가 Telegram의 7035982413 채팅 ID로 전송
storage(.)googleapis(.)com 쪽에서 로드
JavaScript가 api(.)telegram(.)org로 POST
->Telegram 채팅방으로 결과 전송
Excel ReZulT->수집 결과 메시지 제목으로 쓰는 문자열

피싱 사이트 메인 화면

전송되는 텔레그램 주소

hxxps://api(.)telegram(.)org/bot8621193332:AAFQA1-Gno85W9(Q)bpuaR9xTT_bS41P2-qO4/sendMessage

Ioc

HTTP Debugger Pro 본 텔레그램으로 전송된 내용

Host:api(.)telegram(.)org
Path: /bot86211(9)3332:AAFQA1-Gno85W9Q(b)puaR9xTT_bS41P2-qO4/sendMessage
Telegram Bot ID:8621193332
Telegram Bot Token:8621193332:AAFQA1-Gno85W9QbpuaR9xTT_bS41P2-qO4
Telegram Chat ID:7035982413
Origin:hxxps://storage(.)googleapis(.)com
Referer:hxxps://storage(.)googleapis(.)com/
Victim Email:k????@samchully(.)co(.)kr
MX:spam(.)samchully(.)co(.)kr
Timestamp: Tue May 12 2026 23:50:48 GMT+0900
그리고 나서 삼천리 가스 쪽으로 정상적인 사이트로 연결하는 방식을 사용하고 있습니다.
어떤 조직인지 모르겠지만, 아무튼 이런 쪽으로 피싱 메일을 많이 보내는 것 같습니다.