오늘 새벽에 이메일이 왔기에 확인을 해 보니 KBO 크볼렉트 NFT 무료 에어드랍 이벤트이라는 이메일이 하나가 도착을 해 있었습니다. 일단 개인적으로 야구는 주말 경기만 챙겨 보고 있지만 내가~KBO 크볼렉트 NFT 무료 에어드랍 이벤트에 참여했나 싶었습니다.
크볼렉트(KBOLLECT)는 KBO 리그의 다양한 콘텐츠를 활용한 NFT를 수집(Collect)한다는 의미가 있으며 KBO 리그 선수 사진과 경기 명장면을 NFT에 담아 야구팬들이 이를 수집하고 서로 거래할 수 있는 서비스입니다.
공식은 당연히 업비트 를 통해서 서비스가 진행되는데 이메일이 이상해서 한번 조사를 시작했습니다. 일단 내용은 다음과 같습니다.
KBO 크볼렉트 NFT 무료 에어드랍 진행
안녕하세요, KBO입니다.
한국야구위원회(KBO)에서는 KBO 리그의 다양한 콘텐츠를 활용한 크볼렉트(KBOLLECT) NFT를 출시하였습니다.
크볼렉트는 KBO 리그 선수 사진과 경기 명장면을 NFT 카드에 담아 야구팬들이 이를 수집하고 서로 거래할 수 있도록 한 NFT 프로젝트입니다.
크볼렉트 NFT 홀더들은 고척스카이돔 스카이박스 이용권, KBO 리그 경기 티켓 10% 할인권 등 다양한 혜택들을 받으실 수 있습니다.
크볼렉트 NFT 출시를 기념하여 NFT 한정판 2000개에 대한 에어드랍 이벤트가 진행됩니다.
이벤트는 선착순 참여 방식으로 진행되며 1지갑당 최고 2개씩 무료로 민트됩니다.
이라고 돼 있었습니다.
그리고 보낸 이메일 주소는 다음과 같았습니다.
한국야구위원회 <promotion@kboautomailer(.)top>KBO에서 저런 메일 주소 사용을 하지 않는 관계로 일단 피싱인것을 확인을 할 수가 있었습니다.
즉 업비트 NFT 플랫폼에서만 운영되고 있고 이벤트가 있는 경우 업비트 공지사항 및 오픈채팅방을 확인하면 답이 나오기 때문입니다.
일단 해당 연결되는 주소는 다음과 같습니다.
https://mf.ykvlrvdq(.)store ->https://www.kbo-kbollect(.)com/
로 연결이 되면 일단 시작하자마자 QR 코드가 나오는 것부터 수상합니다.
일단은 먼저 확인을 할 것은 당연히 인증서 정보입니다.
Let's Encrypt이라는 것을 확인할 수가 있었습니다. 그리고 조금 더 자세하게 보면 다음과 같습니다.
https://mf.ykvlrvdq(.)store(104.21.55(.)115
server_redirect temporary
https://www.kbo-kbollect(.)com/(172.67.192(.)224)<-뉴욕인 것을 확인할 수가 있습니다.
사이트 내용은 다음과 같습니다.
KBO 크볼렉트 NFT 에어드랍 이벤트
한국야구위원회
크볼렉트는 KBO 리그의 다양한 콘텐츠를 활용한 NFT 카드를 수집한다는 의미로 KBO 리그 선수 사진과 경기 명장면을 NFT 카드에 담아 야구팬들이 이를 수집하고 서로 거래할 수 있도록 한 서비스입니다.
KBO 리그 선수들의 데뷔 첫 기록의 순간 등 특별판 NFT를 무료로 얻으실 기회입니다. 놓치지 마세요.
2,000개 중 1,621개 민트됨.
이라고 돼 있고 해당 QR코드 를 스캔하면 다음과 같은 결과를 얻을 수가 있습니다.
wc:49000242-f679-4f02-88c2-7a9e23aae9bb@1?bridge=https%3A%2F%2Fu.bridge
.walletconnect(.)org&key=69e0a10bd0f402193908d58366546c4d2b4c9653db57004f9295b22084058318
인 것을 확인 있었습니다.
일단 이메일 헤더 내용은 다음과 같습니다.
ARC-Authentication-Results: i=1; mx.naver(.)com;
spf=pass (mx.naver(.)com: domain of promotion@kboautomailer(.)top designates
104.168.159(.)12 as permitted sender) smtp.mailfrom=promotion@kboautomailer(.)top;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=kboautomailer(.)top
Return-Path: <promotion@kboautomailer(.)top>
Received-SPF: pass (mx.naver(.)com: domain of promotion@kboautomailer(.)top
designates 104.168.159(.)12 as permitted sender)
client-ip=104.168.159(.)12; x-iptype=default;
Authentication-Results: mx.naver(.)com;
spf=pass (mx.naver(.)com: domain of promotion@kboautomailer(.)top
designates 104.168.159(.)12 as permitted sender) smtp.mailfrom=promotion@kboautomailer(.)top;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=kboautomailer(.)top
X-Naver-ESV: wwen+6J4p63CbHmwKBwdbXFYKxb9KxgljJ+Y
X-Session-IP: 104.168.159(.)12
Received: from mx.kboautomailer(.)top
(client-104-168-159-12.hostwindsdns(.)com [104.168.159(.)12])
by crcvmail101.nm.naver(.)com with ESMTP id FN-S0pvBRoax+5V7H4StpA
for <???????@naver(.)com>;
Fri, 09 Jun 2023 17:51:09 -0000,from [64.201.232(.)203]
by kboautomailer.top with SMTP id 0653cc33bcb321d5; Sat, 10 Jun 2023 02:51:09 +0900
Date: Sat, 10 Jun 2023 02:51:01 +0900 (KST)
From: =?UTF-8?B?7ZWc6rWt7JW86rWs7JyE7JuQ7ZqM?= <promotion@kboautomailer(.)top>
To: ??????@naver.com
Message-ID: <oX0MOANbzKXkEdEmJjuhQj@kboautomailer(.)top>
Subject: =?UTF-8?B?S0JPIO2BrOuzvOugie2KuCBORlQg66y066OMIOyXkOyWtOuTnOuejSDsnbTrsqTtirgg7KeE7ZaJ?=
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable해당 내용을 대충 정리하면 다음과 같습니다.
ARC-Authentication-Results: 해당 부분은 이메일 인증 결과를 나타내는 헤더
SPF와 DMARC의 결과가 pass로 표시되어 있으며 메일이 발신자 주소를 위조하지 않고 신뢰할 수 있는 발신자에게서 온 것임을 나타냄
Return-Path:이메일이 돌아갈 수 있는 주소 promotion@kboautomailer(.)top
Received-SPF: 이메일 서버(mx.naver(.)com)에서 SPF(Sender Policy Framework) 검증을 통과한 것을 나타냄
SPF는 이메일 도메인의 발신자를 인증하는 메커니즘 이메일이 발신 도메인의 SPF 레코드에 정의된 IP 주소로부터 전송된 것임을 확인
Authentication-Results: 이메일 서버(mx.naver(.)com)에서 SPF와 DMARC(Domain-based Message Authentication, Reporting, and Conformance) 검증을 통과한 것을 나타냄
DMARC는 도메인의 이메일 인증을 강화하기 위한 메커니즘 이메일의 발신자 주소의 도메인과 이메일 서버의 정책을 확인하여 인증 여부를 결정
X-Naver-ESV: 해당 헤더는 Naver 이메일 서비스에서 사용하는 내부 식별자
X-Session-IP: 해당 IP 주소는 104.168.159(.)12
Received: 이메일이 도달한 경로와 날짜/시간 정보
보낸 이메일 서버는 mx.kboautomailer(.)top 이며 해당 이메일은 104.168.159(.)12 IP 주소를 사용하여 전송
Date: 해당 날짜는 2023-06-10 02:51:01이며 시간대는 KST(Korea Standard Time)
From: 이메일의 발신자 주소
발신자는 promotion@kboautomailer(.)top 이며 이름 부분은 Base64로 인코딩
To: 이메일의 수신자 주소
Message-ID: 이메일의 고유한 식별자해당 식별자는 oX0MOANbzKXkEdEmJjuhQj@kboautomailer(.)top 입니다.
Subject: 이메일의 제목 해당 제목은 Base64로 인코딩
MIME-Version: 이메일의 MIME 버전
Content-Type: 이메일의 콘텐츠 타입 해당 이메일은 text/html 형식의 콘텐츠를 가지고 있으며 문자 인코딩은 utf-8 로 지정
Content-Transfer-Encoding: 이메일 콘텐츠의 전송 인코딩 방식해당 이메일은 quoted-printable로 인코딩
돼 있는 것을 확인할 수가 있습니다.
결론 해당 메일을 한국 프로 야구를 사랑하는 팬의 마음에서 금전적 이득을 취득하기 위해서 만들어진 피싱(phishing) 메일입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 러시아 인리스티드(Enlisted) FPS 게임 유포 되는 워너 크라이 랜섬웨어 (0) | 2023.06.15 |
|---|---|
| Tutanota 이메일 피싱 사이트-ipfs(.)io(2032.6.10) (0) | 2023.06.15 |
| 김수키(Kimsuky) 에서 만든 매크로 악성코드-document.doc (copy).doc(2023.6.12) (0) | 2023.06.14 |
| 로맨스 스캠-친애하는 하나님의 선택..(2023.06.08) (0) | 2023.06.13 |
| 북한 해킹 단체 Reaper(리퍼)에서 만든 악성코드-mfc100.dll(2023.5.29) (0) | 2023.06.09 |
| Tutanota(투타노타) 피싱 메일 분석(2023.06.07) (0) | 2023.06.09 |
| Microsoft Edge 114.0.1823.37 보안 업데이트 (0) | 2023.06.08 |
| Firefox 114(파이어폭스 114) 보안 업데이트 (2) | 2023.06.07 |
