오늘은 억만장자처럼 쇼핑하기로 슬로건으로 하고 있으며 핀둬둬 산하의 온라인 장터 플랫폼으로, 중국 현지 생산 업체와 세계 소비자를 중간 유통 과정 없이 직접 연결하여 저렴한 상품들을 대량으로 판매하고 있으며 유튜브 광고에서는 아직 테무를 다운로드를 하지 않았느냐~테무 사용을 하면 최신 드론을 공짜이다. LED 조명과 충전기가 있는 스마트폰 무선 충전기가 공짜이다. 이러면서 정말~이런 식으로 하는 광고를 자주 보았을 것입니다. 오늘은 TEMU(테무)배송 부서 사칭을 하는 피싱 메일에 대해 분석을 해보겠습니다. 일단 피싱 메일 내용은 다음과 같습니다.
TEMU 배송 알림..
방송 ID: 78516039270270
귀하의 패키지는 창고에 있습니다.
안녕하세요 __link, 창고에 패키지가 있습니다. 아무도 배달에 서명하지 않았기 때문에 우리는 그들에게 돈을 지불 할 수 없었습니다.
패키지의 배송을 확인하기 위해 주소 확인이 필요하다고 알려주기 위해 연락하십시오.
패키지를 따르십시오
예상 배달 시간
1 - 2 Tage
사용자 이름
?????
이메일
????@naver(.)com
e-period
Mon,08 Apr-2024 (오늘)
패키지 추적 번호
78516039270270
이런 식으로 돼 있습니다.
로 이루어져 있으며 해당 이메일을 클릭하면 다음과 같은 사이트로 연결되고 개인정보를 훔쳐가기 위한 사이트로 연결됩니다.
피싱 사이트 연결 사이트
hxxp://isotoperun(.)com->hxxps://pointervent(.)website
(1)건의 메시지가 있습니다. 아래를 클릭하여 열어주세요.
Copyright © 2024 Privacy Policy | Terms and Conditions
본 조사는 독립적인 설문조사입니다(보안 사이트: 1169802491) - 158. 본 웹사이트는 247 상품과 관련된 상표, 상호 또는 권리를 소유 또는 대표하거나 보증하지 않으며 이와 제휴되어 있지도 않습니다. 247 에는 별도 법인이 소유하며 해당 법인은 본 웹사이트를 소유하거나 보증 또는 홍보하지 않습니다. *마지막 페이지에서 제공되는 244 평가판 상품에는 배송비 및 취급 수수료가 부과됩니다. 조건은 증정 제안에 따라 다르므로 242 관련 세부 정보는 제조업체의 사이트를 참고하시기 바랍니다. 본 설문조사, 사이트 및 광고에 관해서는 이용약관이 중요하오니 이를 확인하시기 바랍니다.
배송 대기 중인 패키지가 1개 있습니다. 코드를 사용하여 배송을 조회하고 상품을 받으세요.
이런 사례가 다시 발생하지 않도록 배송 일정을 예약하고 캘린더 알림을 구독하세요!
배송 조회 코드
29194772
패키지 정보:
현황:유통 허브에 정체(관세미납)
배송 방법:: 조회 가능 국제 택배
관세:₩1.95
(1)건의 메시지가 있습니다. 아래를 클릭하여 열어주세요.
주문 확인
예상 배송일: 3일
* 다음 페이지에서 연락처 정보를 입력하고 배송비 ₩1.95를 지불하세요.
이메일 헤더는 를 간단하게 설명을 하면 다음과 같습니다.
RC-Authentication-Results: i=1; mx(.)naver(.)com;
spf=pass (mx.naver(.)com: domain of provincestra(.)nl
designates 62(.)210(.)131(.)187 as permitted sender) smtp.helo=provincestra(.)nl
Return-Path: <>
Received-SPF: pass (mx.naver(.)com: domain of provincestra.nl
designates 62(.)210(.)131(.)187 as permitted sender)
client-ip=62(.)210(.)131(.)187; x-iptype=default;
Authentication-Results: mx.naver(.)com;
spf=pass (mx.naver(.)com: domain of provincestra(.)nl
designates 62(.)210(.)131(.)187 as permitted sender) smtp.helo=provincestra(.)nl
X-Naver-ESV: wmFn+6J4p63CbHmZ7BwdbXFYKxKZFogXjJ+Y
X-Session-IP: 62(.)210(.)131(.)187
Received: from provincestra(.)nl (provincestra(.)nl [62(.)210(.)131(.)187])
by crcvmail103(.)nm(.)naver(.)com with ESMTP id bErPYzCaTASvjDdoHsc8Wg
for <?????@naver(.)com>;
Mon, 08 Apr 2024 13:26:07 -0000
Reply-To: Reply@provincestra(.)nl
이메일 헤더 설명
1.RC-Authentication-Results: 해당 항목은 이메일의 인증 결과를 나타내며 여기에는 SPF(Sender Policy Framework)에 대한 결과가 포함
SPF는 이메일이 유효한 송신자로부터 전송되었는지 확인하는 데 사용
여기서는 provincestra(.)nl 도메인이 62(.)210(.)131(.)187 IP 주소를 통해 전송된 것으로 확인
2.Return-Path: 반환 경로는 이메일이 실패할 때 반환되는 주소를 나타내며 해당 경우에는 빈 갑을 가지고 있으며 일반적으로 이는 이메일 서버에서 자동으로 설정
3. Received-SPF:eSPF(Snder Policy Framework)에 대한 결과를 나타내며 SPF는 이메일의 송신자가 유효한지를 확인하는 메커니즘 해당 경우에는 SPF가 통과되었으며 provincestra(.)nl 도메인이 62(.)210(.)131(.)187 IP 주소를 통해 전송된 것으로 확인
4.Authentication-Results:인증 결과는 이메일 서버에서 수행된 인증에 관한 정보를 제공
여기에는 SPF에 대한 결과가 포함되어 있음
5.X-Naver-ESV: 해당 네이버 이메일 서비스의 확장 보안 값(ESV)을 나타내며 메일의 보안 수준에 관한 정보를 제공
6.X-Session-IP: 해당 이메일을 보낸 세션의 IP 주소를 나타내며 여기서는 62(.)210(.)131(.)187 IP 주소를 사용
7. Received: 이메일이 전송된 경로 여기에는 이메일이 어떤 서버를 거쳐 전송되었는지에 대한 정보가 포함되어 있습니다.
그리고 제가 해당 메일을 볼 시간인 2024.04.17 때에는 최종적으로 피싱 사이트에서 개인정보를 입력하게 하는 부분은 폐쇄되었지만 다른 방식의 피싱 메일로 피싱 사이트로 유도를 할 수가 있지 않을까 생각이 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
신용 조회 차단 및 명의도용차단서비스 나이스 지키미(NICE 지킴) (2) | 2024.04.26 |
---|---|
북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱 메일 도구-MailSending(Phishing mail tool,2024.4.19) (4) | 2024.04.22 |
모질라 파이어폭스 125.1 보안 업데이트 및 PDF 텍스트 강조 표시 등 업데이트 (0) | 2024.04.20 |
Tuta 보안 메일 피싱 메일-Urgent Authentication error(2024.4.11) (0) | 2024.04.19 |
Microsoft Intel 프로세서(Spectre)에 대한 새로운 레지스트리 완화 기능 발표 (0) | 2024.04.17 |
Intel CPU(인텔 CPU)Linux 시스템에 영향 미치는 새로운 Spectre v2 공격 (0) | 2024.04.16 |
교통민원24(이파인) 사칭 피싱 사이트-도로법위반 벌점 보고서(전송)내용확인(2024.3.9) (0) | 2024.04.15 |
북한 해킹 단체 Konni(코니) 에서 만든 악성코드-북한 내부정보시장통제 관련 내부 동향 및 물가.hwp.lnk(2024.4.4) (0) | 2024.04.12 |