지속적인 아시아권에 택배 스미싱을 보내는 조직이 새로운 패턴을 넣은것 확인
기존 App Store 사이트 대신 새롭게 한국에서 쓰이는 핸드폰 본인인증 UI 와 동일하게 만들어 주의필요
국내를 포함하여 아시아권에 지속적인 공격을 시도하고 있는 #RoamingMantis #MoqHao 조직이 30일 새로운 패턴의 사이트를 구성한것을 포착했다.
스미싱 패턴이 지속적으로 발전되고 있으며, 상대적으로 이러한 스미싱 공격에 안전했던 iOS 도 공격대상에 포함되지 않는다는 보장은 절대 해서는 안되는 점을 기억해야 한다.
현재 30일 오후 7시 기준으로 iOS 기기에서도 스미싱 공격이 유효함을 포착했다.
아래와 같은 스미싱 패턴을 참고하여 스미싱에 대한 정보를 알고 향후 유사한 스미싱 공격이 들어와도 대처할 수 있는 방안이 무엇보다 중요하다.
스미싱 문자
송장번호 [558******7]미확인입니다 반송 처리 하오니 주소 확인 (URL)
불과 약 보름전에 사용했던 송장번호 반송 형태를 그대로 사용하고 있으며, 단축 URL 역시 bitly 의 단축 URL 을 사용하고 있는 정황을 포착했다.
사용자가 스미싱인지 인지를 못하고 접근하는 경우 아래와 같은 패턴의 화면이 보여진다.
UI는 크게 달라진점이 없으나, 사이트를 구성하는 소스코드에 몇가지 변화점이 생겼다.
바로 UserAgent 를 통해 iOS 브라우저의 경우 가짜 본인인증 사이트로 연결되게 하려는 패턴이 추가되었다.
변화된 패턴
예상 패턴은 아래와 같이 경고창이 표시될 것이다.
Apple Store 계정 보호 위하여 제한된 상태로 변경되었습니다.본인인증 하셔야 정상 사용가능합니다.
혹은
[CJ통운]휴대폰 본인인증을 하시고 실시간 배송정보를 확인하세요.※본인의 휴대폰번호 외 타인의 개인정보를 입력 할 경우 관련 법령에 의해 처벌받을 수 있습니다.
사용자가 당황해 하여 이러한 형태의 안내창을 믿는 경우 다음과 같은 사이트가 열리는것을 파악했다.
iOS 공격용 스미싱 사이트
G마켓의 UI를 사용한것으로 추정되는 가짜 핸드폰 본인인증 사이트의 UI 를 파악했다. 실제로 작동하고 있는 사이트로 확인되고 있으며 추후 공격의 패턴은 Apple 사이트가 아니라 본인인증 사이트로 보다 더 신뢰할 수 있는(?) 스미싱 공격이 될 것으로 추정되고 있다.
현재 스미싱 공격은 30일 오후 7시 기준으로 유효하여 iOS 도 스미싱으로 인한 피해가 발생할 수 있음에 유의해야 한다.
악성앱
악성앱은 이전에 다운로드 되던 패턴과 동일하여 기존의 이미지를 참고하였다.
Virustotal : https://www.virustotal.com/gui/file/901669008f9d50fa84fcb51e21520af2372382015763309ed906721513420e7e/detection
사용자 주의사항
- 절대로 택배사는 핸드폰 번호로 인증을 요구하지 않으며, 무조건 운송장 번호임을 명심한다.
- 절대 택배사가 Apple 계정에 대한 보안 요구나, 택배를 위한 본인확인을 위해 핸드폰 번호를 사용하지 않음을 명심한다.