오늘은 Tutanota 이메일 피싱 메일로 가장하고 있고 그리고 메일 에러라는 메시지를 통해서 이메일 계정을 탈취하는 이메일인 Tutanota 이메일 피싱 메일에 대해 알아보겠습니다. 일단 기본적으로 피싱 메일들은 비슷하게 너~주문서 있다. 너~은행 잔고 있음, 너~보험 명세서, 너 에러 났다는 식으로 낚시하는 것이 보통적 으로 방법입니다.
오늘은 Tutanota 이메일을 탈취하기 위해서 만든 피싱 메일에 대해 알아보겠습니다. 일단 해당 메일을 통한 피싱 사이트는 폐쇄되었습니다.
이메일 내용
Blocked Incoming Messages
The following messages have been held in your waiting list.
You have 11 new messages in your email quarantine. Date: 23/0102023 08:22:00 -0700 (CDT) User: ?????@tutanota(.)com
Click On Release , to Release these message(s) to your inbox folder: Deliver Messages
Quarantined email
Recipient: Subject: Date:
Release ?????@tutanota(.)com ENC: Fwd: PAYMENT 19/10/2023
Release ??????@tutanota(.)com RE: BACK ORDER 19/10/2023
Release ?????@tutanota(.)com Re: PROFORMA 20/10/2023
Release ??????@tutanota(.)com RV: QUOTATION 20/10/2023
Deliver all messages (11)
Note: This message was sent by the system for notification only. Please do not reply
If this message lands in your spam folder, please move it to your inbox folder for proper integration: Click Here
한국어 번역
차단된 수신 메시지
대기자 목록에 다음 메시지가 보관되어 있습니다.
이메일 격리에 11개의 새 메시지가 있습니다. 날짜: 2023년 1월 23일 08:22:00 -0700 (CDT) 사용자: ????@tutanota(.)com
해제 시 를 클릭하면 다음 메시지가 받은 편지함 폴더로 해제됩니다. 메시지 전달
격리된 이메일
수신자: 제목: 날짜:
출시 ????@tutanota(.)com ENC: 전달: 결제 2023년 10월 19일
출시 ????????@tutanota(.)com RE: 예약 주문 2023년 10월 19일
출시 ????@tutanota(.)com Re: PROFORMA 2023년 10월 20일
출시 ????????@tutanota(.)com RV: 견적 2023년 10월 20일
모든 메시지 전달 (11)
참고: 이 메시지는 알림용으로만 시스템에서 전송되었습니다. 답장하지 마세요.
이 메시지가 스팸 폴더에 있는 경우 적절한 통합을 위해 받은 편지함 폴더로 이동하십시오. 여기를 클릭하세요.
일단 보면 일단 나는 피싱 메일이다 클릭을 해서 사이트에 들어가서 너의 소중한 비밀번호를 입력해줘~라는 품고 있습니다.
이메일 헤더 설명
1. Authentication-Results: 해당 부분은 이메일의 인증 결과를 설명 해당 이메일은 DMARC (Domain-based Message Authentication, Reporting, and Conformance) 검사에서 "pass" 결과를 얻었으며 이는 이메일의 송신자가 DMARC를 통과했음을 나타냄
2. Received: 해당 부분은 이메일의 전송 경로를 보여줌
이메일은 먼저 w1.tutanota(.)de 서버를 거쳐 tutadb.w10.tutanota(.) de로 전달 이어서 mail0.wanloplimited(.)com 서버를 통해 이메일이 전달
3. Received-SPF:해당 부분은 SPF (Sender Policy Framework) 검사 결과를 보여준 해당 이메일은 SPF 검사에서 Pass 결과를 얻었으며 이는 이메일이 발신 서버에서 허용된 IP 주소에서 전송되었음을 나타냄
4. DKIM-Signature:해당 부분은 이메일의 DKIM (DomainKeys Identified Mail) 서명 정보를 포함
DKIM은 이메일의 무결성을 검증하기 위해 사용 해당 서명은 이메일이 발신자의 도메인 wanloplimited(.)com로부터 온 것임을 확인
5. From:발신자의 이메일 주소와 표시 이름을 나타내며 이 경우 발신자는 user99@wanloplimited(.)com 이메일 주소를 사용하고 tutanota(.)com 을 표시 이름으로 설정
6. Subject: 이메일의 주제를 설명 주제는 "Mail Delivery error in ?????@tutanota(.)com on 10/23/2023 1:44:29 a.m.로 설정
7.Date: 이메일이 보내진 날짜와 시간을 나타냄
8.해당 경우 날짜는 23 Oct 2023이고 시간은 01:44:29 +0200
8. Content-Transfer-Encoding: 이메일의 본문 데이터 전송 방식을 나타냄
여기서는 quoted-printable 로 설정되어 있으며 이는 특수 문자를 인코딩하는 방식 중 하나
입니다.
일단 해당 피싱 사이트에서는 기본적으로 피싱 사이트 가 2개 존재를 하면 아마도 하나라도 걸리라 식으로 돼 있는 것 같습니다.
포함된 피싱 사이트 주소
hxxps://bafkreicczhcwwic7jr2jc3mpegujazviopck3umxucvn3anbsxhxcafzda(.)ipfs(.)dweb(.)link/?#????@tutanota(.)com
hxxps://zviopck3umxucvn3anbsxhxcafzda-ipfs-dweb-link(.)translate(.)goog/?_x_tr_hp=bafkreicczhcwwic7jr2jc3mpeguja&_x_tr_sl=auto&_x_tr_tl
=en&_x_tr_hl=en-US?#???@tutanota(.)com
해당 피싱범들은 한국은 구글 번역기는 사이트 번역이 VPN 없이는 작동을 안 하는 다는 것을 모르고 자꾸 이런 식으로 보내고 있으며 HTTP Debugger Pro로 열어보면 다음과 같습니다.
일단 해당 사이트에 접속하면 기본적으로 화면을 보여주기 위해서 cutt(.)ly 이라는 단축 주소를 사용하고 있고 최종적으로 다음 사이트로 이동합니다.
hxxps://silman(.)cam/bill/clint(.)php
여기서 아이디 및 비밀번호가 전송되고 그리고 나서 정상적인 Tutanota 사이트로 날리는 방법을 사용하고 있습니다.
일단 기본적으로 이런 게 허술한 피싱 메일에 당할 수가 있으며 기본적으로 2단계 인증 즉 OTP 는 반드시 사용을 하는 것을 추천하면 기본적인 보안 프로그램 및 보안 수칙을 잘 지키는 것이 안전하게 이런 피싱에 낚이는 확률을 줄일 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Tutanota(투타노타) 피싱 메일-Undelivered : outgoing messages failure(2023.10.29) (0) | 2023.11.06 |
---|---|
Bitwarden 암호 키 저장 지원이 도입 (0) | 2023.11.03 |
대북 관계자를 목표를 하고 있는 김수키(Kimsuky) 만든 악성코드-북한인권단체 활동의 어려움과 활성화 방안 이광백대표.chm(2023.5.9) (0) | 2023.11.01 |
모바일 부고 알림 부모님 별세를 악용한 스미싱 악성코드-모바일 부고장.apk(2023.10.13) (0) | 2023.10.31 |
이스라엘-하마스 전쟁 중에 팔레스타인 암호화폐(가상화폐)기부 피싱 사이트 주의(2032.10.26) (0) | 2023.10.27 |
Apple Safari(애플 사파리 브라우저) iLeakage 공격 이메일과 비밀번호 유출 가능 (2) | 2023.10.27 |
카카오 계정(다음 계정)탈취 목적의 피싱 메일-NEFT Payment Receipt(2023.10.23) (0) | 2023.10.27 |
iOS 제로데이 공격 삼각측량 작전(Operation Triangulation) (0) | 2023.10.25 |