꿈을꾸는 파랑새

오늘은 Tutanota(투타노타) 사칭하는 피싱 메일 분석을 해보겠습니다. 일단 Tutanota는 암호화 이메일 서비스이며 종단간 암호화 방식을 사용하며 회사와 서버는 독일에 있습니다. 무료 계정으로는 1GB의 용량을 제공하고 그 이상의 용량은 당연히 유료입니다. 보안을 위해서 POP3나 IMAP은 지원하지 않으며 암호화 방식은 일반적으로 많이 쓰는 PGP를 쓰지 않고 아닌 자신들이 별도로 개발한 방식을 하는 것이 특징입니다. 일단 개인적으로 블로그에 해당 메일을 공개해놓으니까 이런 피싱 메일들이 오는 것 같습니다.
일단 해당 피싱 메일의 내용은 다음과 같습니다.

Tutanota(투타노타) 피싱 메일
Tutanota(투타노타) 피싱 메일

tutanota(.)com Notification - ID#220132819
m26pershing@tutanota(.)com
Your Email address  will be blocked/removed today!!!
You need to verify your primary E-mail/Password to continue using your account.
We encourage you to take time now to maintain your account activities to
avoid login interruption or losing your account permanently.  
Verify your email address
Note: We will not be held responsible for any account loss.
Please do not reply to this email.  
©2023  tutanota.com  Account and Services. All rights reserved Web App Support.
tutanota(.)com 알림 - ID#220132819
m26pershing@tutanota(.)com
귀하의 이메일 주소가 오늘 차단/삭제됩니다!!!
계정을 계속 사용하려면 기본 이메일/비밀번호를 확인해야 합니다.
로그인이 중단되거나 계정이 영구적으로 손실되지 않도록
지금 시각을 내어 계정 활동을 유지하는 것이 좋습니다.
이메일 주소를 확인
참고: 계정 손실에 대해서는 책임을 지지 않습니다. 이 메일에 답장하지 마십시오.
©2023 tutanota.com 계정 및 서비스. 판권 소유 웹 앱 지원.

Tutanota(투타노타) 피싱 메일 메인 화면
Tutanota(투타노타) 피싱 메일 메인 화면

한마디로 이메일이 차단 삭제 되니까 한번 로그인하라 이고 나쁜 말로 너의 아이디와 비밀번호가 필요하다 이런 뜻입니다.
이고 피싱 메일 주소는 다음과 같습니다.

https://ipfs(.)io/ipfs/bafybeif43pbumegfktrzf3mj5
474hbvkgiywfpoh6cjzinrw4ypaxzydq4#m26pershing@tutanota(.)com

일단 개인정보를 어떻게 털어 가는지 보려고 HTTP Debugger Pro를 실행해줍니다.
일단 해당 부분에 기본적으로 제 이메일 주소가 있고 그리고 나서 비밀번호를 입력하게 하는 전형적인 방법을 사용하고 있으며 개인정보가 전송되는 사이트는 다음과 같습니다.

Tutanota(투타노타) 피싱 메일 개인정보 전송
Tutanota(투타노타) 피싱 메일 개인정보 전송

https://pipecogroups(.)com/css/wnm.php
Content-Disposition: form-data; name="tpass"

에 보면 제가 임의적으로 입력한 비밀번호가 적혀져 있는 것을 확인할 수가 있습니다.
RAW 값으로 보면 다음과 같습니다.

POST /css/wnm(.)php HTTP/1.1
Host: pipecogroups(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Referer: https://ipfs(.)io/
Content-Type: multipart/form-data; boundary=---------------------------271731395927671255131862303351
Origin: https://ipfs(.)io
DNT: 1
Connection: keep-alive
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Accept-Encoding: gzip, deflate
Content-Length: 319
-----------------------------271731395927671255131862303351
Content-Disposition: form-data; name="temail"

m26pershing@tutanota(.)com
-----------------------------271731395927671255131862303351
Content-Disposition: form-data; name="tpass"
TEST12345
-----------------------------271731395927671255131862303351--

Tutanota(투타노타) 피싱 메일 이메일 헤더
Tutanota(투타노타) 피싱 메일 이메일 헤더

TEST12345 부분이 제가 임의적으로 입력한 부분 입니다.
그리고 이메일 헤더 내용은 다음과 같습니다.

Authentication-Results: w10.tutanota(.)de (dis=neutral; info=spf);
dmarc=pass (dis=neutral p=quarantine; aspf=r; adkim=r; pSrc=config) header.from=nifty(.)com
Received: from mail.w11(.)tutanota.de ([192.168(.)1.211])
        by tutadb.w10.tutanota(.)de
        with SMTP (SubEthaSMTP 3.1(.)7) id LIJUR3IJ
        for ???????@tutanota(.)com;
        Tue, 06 Jun 2023 07:40:38 +0200 (CEST)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=106.153.228(.)2; helo=osmta0008.nifty(.)com; envelope-from=udagawat1@nifty(.)com; receiver=<UNKNOWN> 
Received: from osmta0008.nifty(.)com (mta-snd00102.nifty(.)com [106.153.228.2])
by mail.w11.tutanota(.)de (Postfix) with ESMTP id D86D15BE5585
for <????@tutanota(.)com>; Tue,  6 Jun 2023 07:40:37 +0200 (CEST)
Received: from dmta0008.nifty(.)com by osmta0008.nifty.com with ESMTP
          id <20230606054034938.WEQB.109427.dmta0008.nifty(.)com@nifty(.)com>
          for <??????@tutanota(.)com>; Tue, 6 Jun 2023 14:40:34 +0900
Received: from [185.225.74(.)106] by dmta0008.nifty(.)com with ESMTP
          id <20230606054034313.GQAF.104575.[185.225.74(.)106]@nifty(.)com>
          for <??????@tutanota(.)com>; Tue, 6 Jun 2023 14:40:34 +0900
From: IT Support <udagawat1@nifty(.)com>
To: ?????@tutanota.com
Subject: Important Notice for ?????/
Date: 5 Jun 2023 22:40:32 -0700
Message-ID: <20230605224032.ED206A745C7DD785@nifty(.)com>

대충 해석을 하면 다음과 같습니다.
해당 이메일은 IT Support 라는 송신자의 주소 udagawat1@nifty(.com를 통해 수신자인 ?????@tutanota.com에게 이메일 보냄
해당 이메일은 "Import)ant Notice for ?????/"라는 제목으로 보내음
보낸 시간은 2023년 6월 5일 22시 40분 32초
해당 이메일은 보낸 사람의 도메인(nifty(.)com)을 통해 tutanota(.)com의 SPF(Sender Policy Framework) 인증을 통과한 것으로 확인
또한 DMARC(Domain-based Message Authentication, Reporting, and Conformance)에서도 인증을 통과
이메일의 헤더(header.from)에서는 nifty(.)com으로부터 보내졌음
해당 이메일의 경로는 osmta0008.nifty(.)com 을 통해 tutanota(.)com의 메일 서버 
이메일의 인증 결과(Authentication-Results)는 SPF에서는 통과
DMARC에서는 중립(dis=neutral) 상태
Quarantine(p=quarantine) 정책을 따른 것으로 나타냄
SPF의 정보(info)는 중립(dis=neutral)으로 표시
니다. 그리고 보낸 시간은 다음과 같습니다.
Tue,6 Jun 2023 07:40:37 +0200 (CEST) 중앙 유럽 표준시(CEST)
이걸 한국 시각으로 변경하면 2023년 6월 6일 화요일 오후 2시 40분입니다.
일단 다른 이메일을 사용하시는 분들은 크게 문제가 없겠지만 Tutanota(투타노타) 이메일을 사용한다고 하면 조심하는 것이 좋으면 해당 이메일 주소를 잘 보면 무엇인가 다르다는 것을 쉽게 확인할 수가 있을 것입니다. 그리고 늘 이야기하지만 2단계 인증을 사용하는 것이 안전합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band