쉬운 목차

실제 애플 구매 영수증과 동일한 UI 를 사용하는 피싱 패턴 주의

사용자가 실제로 결제한 것으로 착각하여 접근하는 경우가 발생할 수 있어 URL 확인이 제일 중요…

애플 계정에 대한 탈취시도는 이미 과거부터 자주 공격되고 있던 것중 하나이다.

한국사용자를 포함해서 전세계에서 Apple 제품을 사용하고 있는 불특정 다수의 사용자들에게 계정 탈취를 위한 공격이 시도되고 있는것은 잘 알려져 있다.

이번에 수신된 메일은 한국애플 결제 영수증과 UI 를 그대로 가져온 패턴의 피싱 메일을 하나 안내하고자 한다.

실제 애플 메일 영수증과 동일한 UI 를 사용한 피싱 메일을 수집했다.

피싱 메일에는 모든 링크가 전부 러시아의 포털사이트인 yandex 의 Redirect API 를 통해 vk 라는 러시아의 SNS 단축 URL 을 거쳐 가짜 애플 사이트로 연결이 된다.

참고로 실제 애플 영수증은 아래 형태와 같이 생겼다.

UI 를 그대로 가져왔기 때문에 사용자가 속아서 접속했을 가능성도 있다.

이제 해당 가짜 사이트에 대한 정보를 확인해보자.

가짜 애플 사이트는 실제 애플 사이트의 UI와 동일하게 꾸며놓아 사용자가 착각할 수 있을 정도로 정교하게 만들어져 있다.

실제 애플 계정을 입력하지 않아도 통과하는것을 보아 실제 정보 여부는 파악하지 않고, 입력값을 무조건 DB에 저장하는 것으로 보인다.

가짜 애플 계정 형태를 입력하고 진행하는 경우, 본인 확인이 필요하다면서 추가적인 정보를 요구한다.

이름, 생년월일, 전화번호, 주소, 카드번호, 애플 계정 보안 질문 까지 함께 입력하도록 되어있다.

이러한 정보를 실제로 입력하는 경우 범죄조직에게 정보가 넘어가므로 중요한 개인정보는 절대로 입력해서는 안되나 이러한 피싱에 피해 사례가 실제로 알려져 있다.

완료되는 경우 가짜 완료 안내창을 보여주고 공식 애플사이트로 연결이 된다.

피해를 실제로 입었다면 사용자는 정상적으로 결제 취소가 된것처럼 간주하고 속을 수 있다.

실제 애플 메일로 온 메일인지 확인한다. 애플메일은 반드시 @apple.com 으로 끝나는 도메인으로 수신된다. (단, SPF 에 의해 필터링 되는 서버에 한해서 해당 메일이 정상적으로 수신되는 경우 문제가 없으며, 스팸으로 왔지만 apple.com 도메인을 사용한다면 SPF 필터링에 의해 차단된 것이므로 신뢰해서는 안된다.)
실제 애플 계정 관리 사이트는 https://appleid.apple.com 이므로 이러한 도메인이 아닌경우 의심한다.