꿈을꾸는 파랑새

반응형

현재 근로계약서로 속여서 피싱 메일을 유포되고 있는 것을 확인했습니다. 이번 피싱 메일은 2022 근로계약서_XXX' 서류심사 및 준비서류 요청이라는 제목으로 유포되고 있으며 다른 제목으로 유포될 수가 있습니다.
일단 메일 내용은 검토할 문서가 도착 하였습니다.
재직자 XXX 사무직 내용을 검토 하시고,작성 후 전송해 주세요.
아래 문서 검토 및 작성 버튼을 눌러 문서를 검토하세요
문서 제출 기한은 2022-01-28 오후 08:12까지입니다.
문서 검토
라고 돼 있으면 일단 여기서 보시면 이것 피싱 메일이라는 것을 확실히 알 수가 있는 부분은 문서 제출 기한 부분인데 보통은 08:00이라고 하지 08:12라고 하지 않죠! 즉 해당 부분을 통해서도 피싱 메일이라는 것을 확인할 수가 있습니다.

근로 계약서로 위장 피싱 사이트 메인 화면
근로 계약서로 위장 피싱 사이트 메인 화면

해당 문서 검토를 눌러주면 피싱 사이트로 이동을 하게 되고 해당 피싱 사이트는 암호화된 PDF 파일을 위장하고 있으며 다운로드 링크를 클릭하면 사용자 이메일의 비밀번호를 입력하라고 사용자의 개인정보 입력을 유도합니다. 여기서 사용자가 이메일 주소 와 비밀번호를 눌러주면 해당 부분에서 로딩 화면이 나오는 것처럼 나오다가 갑자기 반응이 없어지고 다음과 같이 에러를 출력합니다.

근로 계약서로 위장 피싱 사이트 개인정보 입력
근로 계약서로 위장 피싱 사이트 개인정보 입력

Try again! Use correct email and password combination and try again!!
일단 해당 사이트에 접속을 해보면 해당 사이트에 개인정보를 입력하면 정확하게 자신이 입력한 이메일 주소 와 개인정보가 입력된 것을 볼 수가 있습니다.

근로 계약서로 위장 피싱 사이트 개인정보 전송
근로 계약서로 위장 피싱 사이트 개인정보 전송

일단 피싱 사이트 접속 경로는 다음과 같습니다.

http://asakura-care(.)jp/elements/multiphp.html ->http://asakura-care(.)jp/elements/icon.php(153.122.139(.)135:80)

으로 되고 icon(.)php 에서 개인정보가 저장된 것을 볼 수가 있을 것입니다.
그리고 당연히 사용자가 아무런 반응을 하지 않는다고 생각을 하게 해서 창을 닫도록 유도를 하고 개인정보 즉 자신의 이메일 계정정보가 유출되었다는 사실을 사용자가 인지하지 못하도록 하면서 동시에 보통 사람 많은 분이 아이디와 비밀번호를 거의 똑같게 사용하는 것을 악용해서 다른 사이트의 개인정보를 훔쳐서 스팸 등과 같은 것에 악용하는 것으로 추측하면 기본적으로 업무용, 개인용 이메일 등을 따로 분리해서 사용하는 것을 추천하면 기본적으로 2단계 인증은 필수로 해두는 것이 중요하면 이렇게 하면 최소한 개인정보를 보호하는데 도움을 받을 수가 있으며 그리고 의심스러운 이메일은 클릭하는 것은 자제해야 합니다.
일단 2022-01-26 16:31:53 UTC 기준으로 탐지하는 보안 업체들은 다음과 같습니다.
Avira:Phishing
BitDefender:Malware
ESTsecurity-Threat Inside:Phishing
Forcepoint ThreatSeeker:Phishing
Fortinet:Phishing
G-Data:Malware
Kaspersky:Phishing
Lionic:Phishing
Sophos:Phishing
이며 시만텍(Symantec)에 신고를 하려고 했는데 정상적으로 탐지되고 있는 것을 확인했고 그리고 다음 보안 업체에는 신고했습니다.
Emsisoft Browser Security,Google Safebrowsing(파이어폭스 를 통한 신고),마이크로소프트 Smartscreen
어차피 Google Safebrowsing 는 구글 크롬,파이어폭스 등 Google Safebrowsing를 사용을 하면 탐지가 되면 되기 때문에 개인적으로 사용하는 파이어폭스를 통해서 신고했고 마이크로소프트에도 신고했으니 인터넷에서 보면 마이크로소프트 스마트스크린을 끄라고 하는 분도 있고 끄는 방법을 가르쳐 주는 방법을 분도 있는데 컴퓨터 보안에 안 좋아서 끄는 것은 추천하지 않습니다.

반응형
그리드형

댓글

비밀글모드

  1. 잉? 근로계약서 위장? 참 대단하네요. 😑
    2022.01.28 11:49 신고
    • 근로 계약서 를 위장을 하는 경우도 대북 관련 되신 분들을 대상으로 악성코드 만들어서 기밀 정보 뺴가는 경우도 있고 방산 업체를 타겟으로 하는 악성코드들 여러가지가 있습니다.
      2022.01.28 18:15 신고
  2. 잊을 만 하면 가끔 피싱메일 오더라고요
    2022.01.29 17:26 신고
    • 저도 그렇게 생각을 합니다.
      2022.01.30 22:06 신고