견적의뢰서·발주서 관련 피싱메일 '주의'

[아이뉴스24 최은정 기자] 안랩은 최근 견적의뢰서, 발주서 등 업무 관련 내용으로 위장한 피싱메일 유포 사례를 잇따라 발견했다며 14일 사용자 주의를 당부했다.

견적의뢰서 위장 메일의 경우, 공격자는 특정 기업을 사칭해 '○○○(특정 기업명) 견적의뢰서'라는 제목의 메일을 보냈다. 본문에 '견적서를 부탁한다'는 내용과 함께 엑셀 문서로 위장한 '견적 의뢰서.xlsx.htm' 제목의 인터넷 문서 파일(.htm)을 첨부했다. 만약 사용자가 무심코 이 파일을 실행하면 포털 사이트 로그인 화면으로 위장한 피싱 페이지로 연결된다.

이와 더불어 발주서를 위장한 영문 피싱 메일도 발견됐다. 러시아어로 된 발신자명을 사용한 공격자는 '구매-주문(Purchase-Order), [사진과 그림(Photos And Drawings)]' 제목의 메일을 발송했다.

공격자는 '구매 주문(Purchase order).htm.rar' 파일명의 압축파일을 메일에 첨부했고, 본문에 '이미 안내드린 바와 같이 주문 요건에 대한 확인이 필요하다'는 내용을 넣었다. 사용자가 첨부파일 압축해제 후 해당 파일을 실행하면 영문으로 된 가짜 포털 사이트 로그인 화면이 나타난다.

안랩 측은 두 사례 모두 특정 국내 포털 사이트의 로그인 화면으로 위장한 피싱사이트로 사용자를 유도했다고 분석했다. 만약 사용자가 자신의 계정정보를 입력하고 로그인 버튼을 누르면 해당 정보는 즉시 공격자에게 전송된다.

또한 이번에 발견된 피싱 사이트는 정상 로그인 페이지와 매우 유사하게 제작됐고, 전송 후에는 실제 포털 로그인 페이지로 연결되기 때문에 사용자는 피싱을 의심하기 힘들다는 설명이다. 현재 안랩 백신(V3) 제품군은 해당 피싱 URL 접속 시 사이트 접근을 차단하고 있다.

이가영 안랩 분석팀 연구원은 "주문서나 견적의뢰서로 위장한 공격수법은 피싱 뿐 아니라 랜섬웨어 등 악성코드 유포에도 자주 사용되는 방식"이라며 "잠깐의 실수로 조직 전체에 큰 피해를 입힐 수도 있기 때문에 이메일 발신자를 잘 확인하고 출처가 불분명한 메일의 첨부파일 실행을 자제하는 등 기본 보안수칙을 준수해야 한다"고 말했다.

최은정 기자의 다른 기사 보기

• 안랩 "MS 정품 인증 불법으로 하려다가 악성코드 감염"

• 안랩 "랜섬웨어 공격자, OT환경까지 타깃 확대"