오늘은 미 연방수사국 사칭 스미싱 메일인 qjao@service(.)898840(.)com(2024.1.17)에 대해 글을 적어 보겠습니다. 해당 메일은 우리가 미국 드라마, 미국 할리우드 영화에서 항상 정의, 평화, 범죄와 싸우면서 멋지게 FBI이라고 외치거나 아니면 자신이 일본에서 미국으로 유통되는 야구 동영상에서 나오는 경고로 보았던 그 FBI로 속인 매 일입니다.
연방수사국(聯邦搜査局)은 미국 법무부 산하의 법집행기관(law enforcement agency) 기관이며 본부는 워싱턴 D.C.에 소재하며 본부 청사는 초대 국장의 이름을 따서 J. 에드거 후버 빌딩으로 명명돼 있으며 산하 특수부대로서 지부별로 전술조(FBI-SWAT)를 보유하고 있으며 SWAT의 상위호환격인 인질 구조대(HRT) 또한 편성해 두고 있습니다. 일단 이메일을 열어 보았는데 뜬금없이 FBI로 돼 있는 메일이 도착해 있었고 뭐~보면 피싱 인 것을 확인을 할 수가 있습니다.
피싱 내용
Federal Government Office
Address: 935 Pennsylvania Ave NW, Washington, DC 20535 ,United States
I’m contacting you by your Text Phone however; I feel it’s best and
more convenient for me to explain why I am contacting you. I
notice that you have being receiving numerous emails from people who
claims to have funds coming to you but I advise that if you’re still
in communication
with any of them on issue of funds however, you’re hereby advise to
stop every communication right now because those people has being
investigated
and confirmed to be a Fraud.
Due to the delay of getting this funds to you, your funds has now
been increased to $2 Billion USD …….
I’m informing you this today because I came to notice that you’re not
communicating with a legitimate person who is in charge of getting
these funds to you …
If you’re really interested in receiving your unpaid funds , I advise
that you should get back to me immediately. AlI I need is your
cooperation and understanding.
Please urgently contact me back once you receive this text ….
(1)Home address.....
(2)phone number…..
(3)email address….
(4)copy of picture /I’d ……
(5)Occupation & sex….
(6)Age….
Mr Christopher wray
Email: fbicompensationfunds@motas(.)com(.)ar
한국어 번역
연방정부청사
주소: 935 펜실베니아 Ave NW, Washington, DC 20535, 미국
하지만, 당신의 문자 전화로 연락드립니다. 저는 그게 최선이라고 생각합니다.
내가 왜 당신에게 연락하는지 설명하는 것이 더 편합니다. 나는
당신이 사람들로부터 많은 이메일을 받고 있다는 것을 알아차립니다.
당신에게 자금이 있다고 주장하지만, 당신이 여전히 있다면 조언합니다.
교신 상
그러나 그들 중 하나라도 자금 문제가 있다면, 당신은 여기서 다음과 같이 조언합니다.
그 사람들은 지금 모든 의사소통을 중단합니다. 왜냐하면, 그 사람들은
조사한
사기꾼으로 확인됐습니다.
이 자금을 귀하에게 전달하는 것이 지연되어 귀하의 자금은 현재
20억 달러로 증액…….
귀하가 그렇지 않다는 것을 알게 되었기 때문에 오늘 알려 드립니다.
획득을 담당하는 합법적인 사람과 의사소통하기
이 자금들은 당신에게…
미납 자금을 받는 데 정말 관심이 있다면 조언해 드립니다.
당신이 즉시 나에게 연락해야 한다고요. 당신이 필요한 것은 당신의
협력과 이해.
이 문자를 받으시면 긴급히 다시 연락해주시기 바랍니다….
(1) 집 주소….
(2) 전화번호….
(3) 이메일 주소….
(4) 사진의 복사본/나는……
(5) 직업과 성별….
(6) 나이….
크리스토퍼 레이 씨
이메일:fbicompensationfunds@motas(.)com(.)ar
아니 한국에서 사용하는 보이스피싱 이메일 버전이라고 생각을 하면 됩니다. 한국으로 치면 여기 검찰청입니다. 너~불법 거래 등에 연루 수사 협조 여기는 FBI에서 돈을 전달하는 것이 지연되어서 20억 달러가 있으니 너의 개인정보를 적어서 답신해줘 이런 식으로 돼 있습니다. 대충 원·달러 환율을 1,337원으로 계산을 하면 2조6,750억 원인데 막말로 내가 그런 큰돈이 있으며 통장에 넣어두었지. 2조6,750억 원을 찾아가라~
해당 이메일 분석을 위해 이메일 헤더를 열어보면 다음과 같습니다.
Authentication-Results: w10(.)tutanota(.)de
(dis=neutral; info=dmarc default policy);
dmarc=pass (dis=neutral p=quarantine; aspf=r; adkim=r; pSrc=config) header.from=service(.)898840(.)com;
dkim=pass header.d=service(.)898840(.)com header.s=mykey header.b=TKCSiG5i
Received: from w4(.)tutanota(.)de([192.168.1(.)??5])
by tutadb(.)w10(.)tutanota(.)de
with SMTP (SubEthaSMTP 3.1(.)7) id LRGIIE5S
for ????@tutanota(.)com;Tue, 16 Jan 2024 16:32:03 +0100 (CET),
from service(.)898840(.)com (unknown [23.94.49(.)56])
by w4.tutanota(.)de (Postfix) with ESMTP id C481D1060354
for <???????@tutanota(.)com>; Tue, 16 Jan 2024 15:32:03 +0000 (UTC),
from [156.96.60(.)37] (156.96.60(.)37)
by service(.)898840(.)com id hkqhl40001ge
for <??????@tutanota(.)com>; Tue, 16 Jan 2024 10:39:41 -0500
(envelope-from <qjao@service(.)898840(.)com>)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=23.94(.)49(.)56;
helo=service.898840(.)com; envelope-from=qjao@service.898840(.)com; receiver=<UNKNOWN>
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=service.898840(.)com;
h=Content-Type:MIME-Version:Content-Transfer-Encoding:Content-Description:Subject:To:
From:Date:Reply-To:Message-ID; bh=XdjN9k3rkU5Yirc1wK6COSloh1s=;
b=TKCSiG5i3XjXnMXwULYHppV458NmGWJEduLZFLUlFfSkC38B135vMMYVHzwS7lpCj7CCbH0Ul9pH
/Reb31mw4BcbgMKznaqP/IQ2ne5R47I1QGMAq/22RsPWk9ei4HC7hQsXBkXYqvtKbldeiRreiO8v
tYpAU9tdKMVY3CdsJ6M=
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: FBI- Criminal Justice Information Services Division
To: "Recipients" <qjao@service(.)898840(.)com>
From: "FBI" <qjao@service(.)898840(.)com>
Date: Tue, 16 Jan 2024 10:31:27 -0800
Reply-To: fbicompensationfunds@motas(.)com(.)ar
Message-ID: <0.0.0.515.1DA489238A9BFFC.0@service(.)898840(.)com>
Content-Type: multipart/related; boundary="------------79Bu5A16qPEYcVIZL@tutanota"
이메일 헤더 설명
1.Authentication-Results:
dmarc=pass (dis=neutral p=quarantine; aspf=r; adkim=r; pSrc=config) header.from=service(.)898840(.)com;
dmarc=pass: DMARC (Domain-based Message Authentication, Reporting, and Conformance)의 검증 결과 메일이 DMARC 정책을 통과했음을 나타냄
dis=neutral:DMARC 결과의 상태로 중립적인 상태를 나타냄
p=quarantine:DMARC 정책의 결과로, 메일이 출처 도메인의 DMARC 정책에 따라 격리 상태로 처리되어야 함을 의미
pSrc=config:DMARC 정책이 동적으로 변할 수 있다는 것을 나타맨
header.from=service(.)898840(.)com: DMARC 검증 중 확인된 출처 도메인이 service(.)898840(.)com 임을 나타냄
2.Received:
Received from w4(.)tutanota(.)de([192.168.1(.)??5]) by tutadb(.)w10(.)tutanota(.)de...:
이메일이 어떻게 전송되었는지에 대한 정보
서버 간의 통신 및 전송된 시간과 날짜가 포함되어 있음
3.DKIM-Signature:
v=1; a=rsa-sha1; c=relaxed/relaxed; s=mykey; d=service.898840(.)com;...; b=TKCSiG5i3XjXnMXwULYHppV458NmGWJEduLZFLUlFfSkC38B135vMMYVHzwS7lpCj7CCbH0Ul9pH...:DKIM 서명의 세부 정보
v=1:DKIM 버전 1을 사용함을 나타냄
a=rsa-sha1:DKIM에 사용된 알고리즘은 RSA-SHA1임을 나타냄
s=mykey; d=service.898840(.)com:DKIM 서명에 사용된 키의 정보 서명이 mykey 키로 생성
도메인은 service.898840(.)com 입니다.
bh=XdjN9k3rkU5Yirc1wK6COSloh1s=; b=TKCSiG5i3XjXnMXwULYHppV458NmGWJEduLZFLUlFfSkC38B135vMMYVHzwS7lpCj7CCbH0Ul9pH...:메시지의 해시와 서명이 제공
4.MIME-Version, Content-Type 등:
MIME-Version: 1.0:이메일의 MIME 버전이 1.0임을 나타냄
Content-Transfer-Encoding: quoted-printable:이메일의 내용이 Quoted-Printable 형식으로 인코딩되었음을 나타냄
Content-Description: Mail message body: 이메일 본문의 설명이 포함되어 있음
Subject, To, From, Date, Reply-To, Message-ID 등:이메일의 기본 정보를 포함
5.Subject, To, From, Date, Reply-To, Message-ID 등:
Subject: FBI- Criminal Justice Information Services Division:이메일의 제목은 FBI- Criminal Justice Information Services Division
To: Recipients <qjao@service(.)898840(.)com>:
수신자 정보로 이메일이 qjao@service.898840(.)com 주소로 보내진 것으로 나타냄
From: FBI <qjao@service.898840(.)com>:송신자 정보로 이메일이 qjao@service(.)898840(.)com 주소에서 발신되었음을 나타냄
Date: Tue, 16 Jan 2024 10:31:27 -0800:이메일이 보내진 시간과 날짜를 나타냄
Reply-To: fbicompensationfunds@motas(.)com(.)ar:답장을 보낼 주소로 fbicompensationfunds@motas(.)com(.)ar이 지정되어 있음
그리고 보낸 주소를 바이러스토탈에 돌려보면 보안 업체 2군데에서 스팸, 악성코드로 탐지하고 있습니다.
Avira: Malware
Sophos:Spam
결론 나 자신한테 돈이 있으니 돈 받을 주소 내놔라~아니면 너~범죄에 연류되어져 있으니 어쩌고저쩌고하면 100% 피싱 입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Konni(코니) 만든 북한 시장 물가 분석 문서 위장 해서 공격 하는 악성코드-조선 시장 물가 분석(회령).hwp?(2023.11.17) (0) | 2024.02.07 |
---|---|
재혼 알림 을 위장한 스미싱 사이트-go(.)appp(.)ooguy(.)com(2024.1.28) (0) | 2024.02.05 |
엔씨소프트 주문 송장으로 위장한 피싱 파일-电子发票20399201011-2023(.)jpg(.)html(2024.1.15) (0) | 2024.01.30 |
Konni(코니) 에서 만든 악성코드-NService_youngji057.chm(2023.11.18) (2) | 2024.01.29 |
안드로이드 스마트폰,iOS 스마트폰 제로 클릭 블루투스 공격 취약점 (2) | 2024.01.25 |
모질라 파이어폭스 122(Firefox 122) 보안 업데이트 (0) | 2024.01.25 |
카스퍼스키 iPhone(아이폰)에서 iOS 스파이웨어를 탐지 도움 되는 iShutdown 스크립트 공개 (0) | 2024.01.24 |
부고 알림 부모님 별세를 악용한 스미싱 악성코드-s8u(.)cn/tGmtU(2023.12.28) (0) | 2024.01.23 |