제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

아마존에서 연말연시 선물 구입하는 소비자들 노리는 피싱 공격

페이지 정보

작성자 최고관리자 작성일18-12-26 18:26 댓글0건

본문


아마존 쇼핑을 자주 하는 사람들이라면 주의해야 할 소식이다. 매년 그래왔지만 아마존의 이름을 악용하는 피싱 공격이 시작되고 있기 때문이다. 특히 최근에는 아마존의 주문 확인 메일로 보이는 피싱 메일들이 살포되고 있는 중이라고 보안 업체 에지웨이브(EdgeWave)가 발표했다.

 

이들에 따르면 피싱 메시지는 꽤나 ‘그럴 듯’ 하다고 한다. 제목은 ‘Your Amazon.com order’ 혹은 ‘Amazon order details’, ‘Your order 162-2672000-0034971 has shipped’라고 작성돼 있어 사용자가 확인하지 않으면 손이 반사적으로 클릭하도록 되어 있다.

IT 및 보안 전문 매체 블리핑컴퓨터(BleepingComputer)에 따르면 “이런 이메일에 속아 열면 주문 확인서 양식이 화면에 뜬다”고 설명한다. “내용은, 주문한 물건이 배송 완료됐다는 겁니다. 그러나 주문한 물건이 무엇인지, 현재 위치 추적 서비스에 따른 배송 경로 등의 상세 정보는 다 빠져 있습니다. 이런 정보를 보기 위해서 ‘Order Details’라는 곳을 클릭해야 한다고 이 가짜 문건은 안내합니다.”

실제로 아마존에서 뭔가를 주문해서 물건을 애타게 기다리는 사용자라면 이 클릭의 유혹을 떨치기가 쉽지 않다. “그래서 클릭을 하게 되면 워드 문서를 하나 다운로드 받게 됩니다. order_details.doc라는 이름을 가지고 있지요. 그 다음 문서 내용을 제대로 보려면 Enable Content를 활성화해야 한다는 안내가 나옵니다. 사실은 매크로를 활성화시키는 것이지요. 이 매크로는 파워셸 명령을 실행합니다. 파워셸은 이모텟(Emotet)이라는 악명 높은 뱅킹 트로이목마를 다운로드 한 후 실행하고요.”

에지웨이브 측은 블리핑컴퓨터와의 인터뷰를 통해 “아직 악성 문서에 대해서는 추가 분석이 이뤄지고 있는 상황”이라며, “현재까지 밝혀진 건, 이모텟이 keyandsymbol.exe라는 이름으로 다운로드 된다는 것”이라고 말했다. 이모텟의 원래 파일 이름은 mergedboost.exe다.

“공격에 활용된 서버들은 휴스턴과 랜싱에 있는 것으로 나타났습니다. 하지만 도라(Dora)와 익스플로러(Explorer)를 통해 분석을 더 진행해보니 콜롬비아의 한 이메일 서버가 침해됐고, 이곳을 통해 피싱 이메일이 배포되고 있음을 알 수 있었습니다. 이 이메일에는 링크가 하나 걸려 있었는데, 인도네시아에 있는 한 서버와 연결이 되어 있더군요. 서버는 다시 미국에 있는 서버들에 요청을 보내 멀웨어를 다운로드 하고요.”

이러한 메일에 당하지 않으려면 보낸 사람 메일 주소를 꼼꼼하게 확인하고, 주문 번호나 내역에 대해서 알고 있어야 한다. 또한 대부분의 경우 아마존은 쇼핑 상세 내역을 첨부 파일로 보내지 않으니 그 점도 기억하면 도움이 될 것이라고 한다.