최근 계정정보 탈취 목적으로 스미싱 공격을 많이 보이는거 같습니다. 저도 문자를 최근에 받았었습니다. 텔레그램 사칭으로 한 피싱 페이지였는데요. 찾아보니 한국인터넷진흥원(kisa)에서도 주의가 필요한지 "SNS 소셜커머스등 계정 탈취를 노리는 스미싱 주의 권고"란 제목으로 보안 공지가 올라왔습니다. 해당 내용은 정부 공고와 해당 내용에 나오는 텔레그렘 피싱 관련해서 글을 작성 해 봤습니다.
주요 내용
텔레그램, 애플, 소셜커머스 사이트 등 플랫폼의 계정 자격 증명을 도용하려는 스미싱 시도가 증가하고 있다고 경고했습니다. 공격자는 SMS 메시지에 피싱 링크를 보내 사용자가 민감한 정보를 입력하도록 속입니다. 이러한 도난당한 자격 증명은 무단 구매나 암호화폐 도난과 같은 금융 사기에 악용됩니다. 사용자는 의심스러운 메시지와 URL에 주의하고, 스미싱 시도를 신고하고, 강력한 비밀번호와 이중 인증으로 계정을 보호해야 합니다.
아래는 주의해야 하는 계정 탈취 관련 스미싱
대응 방안
- 스마트폰 내 문자 수신화면에서 "스팸으로 신고"
- 보이스피싱통합신고대응센터 내 '스미싱 문자메세지 차단 신고하기' 112
- 보호나라(카카오톡 채널) 내 '스미싱' 확인서비스를 이용하여 신고
정부에서 2차 피해를 막기 위해 ISP 차단등을 하기 때문에 귀찮더라도 신고해 주시면 2차 피해를 최소한 막을 수 있습니다.
스미싱 문구
[국외발신] [Telegram] 사용자 인증을 완료해주세요 미인증시 계정이 만료됩니다. hxxps"//URL
이상하다고 느끼는 점
- 해당 문자의 링크를 보면 먼저 정상 주소와 다른 것을 확인할 수 있습니다. 정상주소는telegram.org입니다.
- 텔레그램 단축 URL(t.me)을 왜 사용 안 했지?
- 서브 도메인에 telegram이고 메인 도메인은 ins-kr >> 도메인 국가 확인해 보니 CN으로 확인됨
피싱 사이트 접속 화면
해당 URL에 접속하게 되면 로그인하는 방법이나 로그인 창을 보여주고 계정정보를 입력하도록 유도한다. 뿐만 아니라 2차 인증(sns 인증)까지 입력을 유도하여 탈취하는 것으로 확인되었다.
텔레그램 스미싱 문자의 링크를 접속하게 되면 로그인 페이지가 보이고 사용자 계정정보와 sns 로그인 코드를 탈취한다. 2차 인증까지 탈취하여 공격자의 서버로 전송되어 계정 탈취가 진행되기 때문에 각별한 주의가 필요해 보입니다.
IOC
telegram[.]ins-kr[.]com
admin[.]leymocci[.]com'Basic > 정보보안' 카테고리의 다른 글
| [몸캠피싱] 레드톡 피싱 사이트 주의 (24.09.19) (6) | 2024.09.19 |
|---|---|
| [피싱] 스타벅스 채용 사기 주의 (24.07.05) (11) | 2024.07.05 |
| 크리덴셜 스터핑(Credential Stuffing) 공격 (2) | 2024.06.30 |
| MITRE ATT&CK 정리 (1) | 2024.02.06 |
| 재혼 관련 청첩장 사칭 피싱 사이트(23.01.28) (4) | 2024.01.29 |