다양한 택배문자패턴을 보내는 스미싱 주의! (21.05.25 UPDATE)

기승을 부리는 스미싱 문자

스미싱 패턴과 유형만 알면 피해를 면할 수 있다!

 

 

최근 택배 관련 스미싱이 유행을 하고 있다.

 

물론 과거부터 택배 스미싱은 유행했으나 새로 알려진 택배 스미싱 형태로 사용자들이 주의를 해야 하는 경우가 있다.

 

아래 내용을 참고하여 어떤 문자 형태로 수신되는지 확인하자.

 

그전에, 스미싱이란것이 무엇인지 잠깐 알 필요가 있다. 위키백과 내용을 통해 참고하자. (링크)

문자메시지를 이용한 피싱. SMS 와 피싱(Phishing)의 합성어.

– 위키백과

 

즉, 한마디로 요약하면 “사기문자” 라는 것인데 이러한것은 대개 사회공학적인 기법을 통해 문자를 유포하는 범죄조직의 유형들이 많다.

이러한 특성을 잘 모르는 대다수 사용자들은 문자의 내용에 당황하여 링크 방문을 하도록 일부러 유도하는 것이다.

 

 

이 스미싱 패턴들은 대부분 #RoamingMantis #MoqHao 계열의 조직으로 알려져 있다.

 

어떤 유형의 스미싱 문자?

 

스미싱문자

스미싱 문자. 피해자가 악성앱에 의해 발신된 형태이다.

 

 

위 형태는 해당 악성앱에 의해 발신된 피해자의 메시지 함을 캡쳐한 이미지 이다.

 

패턴은 다음 형태처럼 오는것이 특징이다.

최근에는 단순한 택배 관련 확인 문자였으나, 지속적으로 다른 타입의 문자형태 (구매한 상품등에 대한 배송 여부 확인 등)로 변형되고 있어 각별한 주의가 요구된다.

 

 

 

 

  • 알려진 패턴에 한해서만 작성하며, 지속 업데이트 됨 (제목 참고)

  • MoqHao / RoamingMantis 외 다른 택배 관련 스미싱 패턴 포함한 문자 패턴을 수집하여 작성합니다. (추후 MoqHao 외에 다른 문자패턴은 별도로 분리 예정 입니다.)

  • 스미싱 문자 제보를 받고 있습니다. 하단의 댓글 입력 항목에 문자 메시지를 첨부 주시거나, 수신받으신 문자 메시지 원본을 알려주시면 확인 후 첨부해 드립니다.

 

– IOC : Indicator Of Compromise 의 약자로, 침해지표를 의미 합니다.

참고

  • 단, 문자 패턴 중 “[Web발신] CJ대한통운 보이는ARS 입니다 아래 URL을 클릭해주세요” 는, 주소가 https://mfcc.co.kr 로 시작하는 경우 정상적인 CJ대한통운 보이는 ARS 입니다!
  • 쿠팡 로켓배송 관련 스미싱 유형은 이 곳(링크)을 참고해주세요.
  • 법률위반 관련 스미싱 유형(교통법규위반 등의 형태)은 이 곳(링크)을 참고해주세요.
  • 자녀를 사칭한 스미싱 유형(핸드폰 고장, 액정 깨짐등으로 특정 번호로 친구추가 요청, 카카오톡 ID 친구추가요청, 문자요청등을 요구하는 형태)은 이 곳(링크)을 참고해주세요.
  • 택배 본인확인, 주문번호오류, 주소확인을 요청하는 스미싱 유형(작은 크기의 인증번호 입력을 요구하는 화면이 표시됨)은 이 곳(링크)을 참고해주세요.

 

이러한 스미싱 형태의 특징은 짧은 형태의 내용에 xyz, top 형태 혹은, 단축 URL 같이 같은 자주 사용되지 않은 형태의 URL 을 사용하고 있다.

 

최근 문자패턴은 비단 택배나 배송관련 문자가 아니라

상품 구매, 코로나19 (#COVID19) 관련 문자, 기타 다른 업체나 배송관련 문자형태로 수신받는 사례가 많아졌다.

택배 관련 문자는 아니여도 동일조직의 문자패턴임을 확인할 수 있었기에 해당 내용에 함께 추가하였다.

 

 

 

 

실수로 스미싱 링크를 눌렀을 때의 패턴은?

 

iOS 와 Android 에 따른 구별
iOS 와 Android 에 따른 구별.

 

안드로이드와 iOS 에 따라 구별되게 링크가 되는 점이 특징을 지니고 있다.

이는 대부분의 스미싱에도 구별되고 있는 특징으로 PC에서 접속하면 정상적인 CJ 대한통운 사이트 인것처럼 꾸미거나, 아예 작동 안하도록 만든 경우가 있다.

 

 

 

 

안드로이드(Android)

 

가짜 CJ대한통운 사이트
가짜 CJ대한통운 사이트

 

과거 이 패턴의 스미싱은 가짜 CJ대한통운 사이트를 보여주는 방식이였으나, 최근에는 아래와 같이 변경되었다.

 

(단, 이 CJ대한통운 UI는 다른 스미싱 조직에서도 유용하게 사용하는(?) UI 형태이며 반드시 번호를 입력하도록 요구하고 있으니 각별히 주의가 요구된다.)

 

 

 

더 낳은 서비스 체험을 위해 한층 개선된 chrome 최신버전을 업데이트 하시기 바랍니다.
더 낳은 서비스 체험을 위해 한층 개선된 chrome 최신버전을 업데이트 하시기 바랍니다.

 

안드로이드는 가짜 Chrome 업데이트를 요구한다.

애플리케이션은 즉시 다운로드가 되며, 사용자가 직접 설치 및 실행을 하는 경우 피해가 발생한다.

 

 

 

 

 

애플 (iOS)

가짜 Apple 사이트 연결
Apple Store 계정 보호 위하여 제한된 상태로 변경되었습니다.본인인증 하셔야 정상 사용가능합니다.

 

네이버 아이디 로그인 하시고 관련 부탁합니다
네이버 아이디 로그인 하시고 관련 부탁합니다

 

 

iOS 는 최근들어 유행하는 수법으로 일부 스미싱 조직은 사용하지 않으나 Apple 계정의 아이디 / 비밀번호 및 인증번호까지 함께 입력하도록 유도하는 경향이 많다.

최근 스미싱은 네이버 계정이나 핸드폰 번호 인증 등, 다양한 수법으로 iOS 사용자들에게도 피해를 입히는 경우가 발생하므로 각별한 주의가 요구된다.

 

 

 

 

 

스미싱 앱으로 인한 피해사례는?

안드로이드 (Android)

가짜 CJ대한통운
가짜 CJ대한통운 애플리케이션 설치를 요구한다.

 

가짜 Chrome 설치
가짜 Chrome 설치를 요구한다.

 

 

이러한 스미싱 앱을 설치하여 발생한 피해는 다른 제 3자에게 동일한 스미싱이 전송이 되어 또다른 피해자를 낳을 뿐더러, 피해자였던 본인도 가해자가 될 수 있다.

또한, 이러한 스미싱 앱은 알려진 형태중의 하나는 공인인증서 탈취목적 및 Google 계정 탈취로도 사용되었던것으로 알려져 있다.

 

 

"MoqHao

 

 

악성앱이 설치가되면 문자 발신 용도 이외에 구글 계정 탈취를 목적으로 위 이미지 처럼 가짜 Google 안내 메시지를 출력 한다.

 

고객님의 Google 아이디 위험있습니다. 본인인증후 사용하세요.

 

"MoqHao

 

 

가짜 Google 사이트에 접근이 되어 개인정보 등을 입력하게 되는 경우 추가 피해가 발생할 수 있으므로 각별히 주의가 요구된다.

 

 

실수로 악성코드를 설치했다면?

 

가장 중요한 것은 인지 이후 빠르게 가짜 Chrome 애플리케이션을 제거하는것이 우선이다.

 

가짜 Chrome 애플리케이션은 200KB ~ 5MB 사이의 매우 적은 용량을 가진 Chrome (혹은 Chrome. / Chrome.. / Chrome . / Chrome Beta / Chome 등) 이라는 이름을 가진 애플리케이션 이다.

 

참고

  • 악성앱 마다 용량, 이름등의 차이가 발생할 수 있으므로 대략적으로 참고하는것이 좋습니다. 소개되는 악성 애플리케이션은 MoqHao 기반에 한해서 입니다.
  • 대다수 기기는 삭제를 위해서 각 기기의 환경설정 -> 애플리케이션 메뉴를 이용해야 합니다. 다만, 기기마다 설정의 메뉴가 다르므로 자세한 사항은 제조사 홈페이지를 참고하세요.

 

 

다만, 안드로이드 스마트폰은 구글과 협업한 회사에서 만든 제품(삼성, LG 등) 인 경우 Google 앱이 기본적으로 포함되어 있어 정상적인 Chrome Browser 도 함께 포함이 되어있다는 점이다.

이를 비교하는 방법은 아래 이미지를 참고하면 좋다.

 

 

진짜 크롬과 가짜 크롬 비교
진짜 크롬과 가짜 크롬 비교

 

 

진짜 Google Chrome 은 100MB가 넘는 용량으로 설치되어 있으나, 가짜 Chrome 앱은 그와 다르게 매우 적은 용량으로 되어있어 쉽게 찾아 제거할 수 있다.

 

 

 

참고사항

메뉴에서 보이는 MoqHao 앱 형태
메뉴에서 보이는 MoqHao 앱 형태

직접 애플리케이션 목록(위로 슬라이드하여 메뉴를 열거나, 메뉴 버튼을 직접 누르는 경우 등)을 진행하는 경우에는 최근 설치되는 악성 크롬앱의 경우

앱의 이름과 아이콘이 투명이므로 메뉴에서 이상하게 비어있는 부분을 참고하여 제거해도 된다.

 

 

 

 

 

애플 (iOS)

애플 제품은 소액결제의 피해가 발생했던것으로 알려져 있으며, 따로 애플리케이션 설치를 요구하지는 않는다.

 

소액결제 특성상 실제 현금으로 바꾸기 쉬운만큼 피해 사례가 발생하기 최고 좋은 형태이므로 이러한 문자 스미싱에 당하지 않도록 하는것이 매우 중요하다.

 

MoqHao Apple 계정 탈취 사이트
MoqHao Apple 계정 탈취 사이트

 

MoqHao Naver 계정 탈취 사이트
MoqHao Naver 계정 탈취 사이트

 

위 사이트들은 실제 스미싱 사이트에서 나오는 가짜 로그인 사이트로 iOS 기기에서만 보여지는 사이트 이다.

 

이러한 가짜 사이트들에 로그인 하는경우 추가적인 피해가 발생할 수 있으므로 각별히 주의하는것이 좋다.

 

 

 

스미싱을 예방하는 방법?

매우 간단하다. 이러한 스미싱의 유형은 사용자를 속이기 위해 진짜처럼 속이는 것이므로 한번 더 고민을 해보면 된다.

  • 최근에 택배를 시킨적이 있는지 확인하자.
  • 택배 확인만 부탁한다면서 딸랑 URL 주소만 올라와있는지 확인해보자.
  • xyz 링크, top 링크, bitly 링크등 비주류 도메인이나 단축 URL 등이 링크일 경우에는 한번 더 주의를 해보자.
  • 택배사가 핸드폰 번호를 묻거나, Chrome 설치를 요구하거나, 애플 계정, 네이버 계정등 계정정보를 묻는 경우는 절대 없으니 주의하자.