택배 본인인증으로 위장한 스미싱 주의 (21.01.10 UPDATE)

앱 설치 형태가 아닌 핸드폰 인증번호만 입력하는 스미싱 유형 급증

택배사가 핸드폰 번호 인증을 요구하는 경우는 없으므로 신뢰하지 말 것

 

과거 MoqHao 스미싱 유포의 iOS 유형에서 쓰였던 사례가 있었던 동일한 UI 형태를 사용하는 스미싱이 최근 별도로 분리되어 한국 내 사용자에게 불특정다수의 번호로 문자를 보내는 정황을 파악했다.

 

이 본인인증 형태는 한국의 오픈마켓인 #GMarket (#지마켓)의 인증문자 WebUI 를 사칭한 형태로 초기에는 지마켓 인증문자의 UI를 그대로 사용했으나 최근에는 CJ대한통운 택배 본인인증 사이트인것처럼 UI를 변경한 신종형태도 파악하였다.

 

이 스미싱 유형과 문자, 발생할 수 있는 피해에 대해서 아래 내용을 참고하여 예방하는것이 중요하다.

 

 

스미싱 문자

택배 본인인증 스미싱
택배 본인인증 스미싱

 

스미싱 패턴

– IOC : Indicator Of Compromise 의 약자로, 침해지표를 의미 합니다.

 

현재까지 수집한 스미싱 문자 패턴은 위와 같으며 이는 Android 와 iOS, PC 상관없이 전부 스미싱 페이지로 연결된다.

 

이 스미싱 문자의 패턴은 다음과 같다.

  1. 대부분 Web발신 이 포함된 문자 형태이다.
  2. 010 핸드폰 번호가 아니라 지역번호로 수신된 형태이다. 또한, 실제 특정 업체의 번호로 이루워져있어 신뢰할 수 있는 링크로 오인할 수 있다.
  3. 택배사 본인인증 형태는 과거에 택배 관련 문자뿐만 아니라 등기우편등 다양한 형태로 사용했던점이 있다.

 

 

특히 이러한 문자는 해당 문자발신 번호의 업체가 사용하는 문자발신업체 사이트의 계정을 탈취하여 무작위로 발신을 한 것으로 추정된다.

 

 

 

스미싱 사이트

택배 본인인증 스미싱 구버전 UI
택배 본인인증 스미싱 구버전 UI

 

택배 본인인증 스미싱 신버전 UI
택배 본인인증 스미싱 신버전 UI

 

이 본인인증 스미싱의 특징은 구버전 UI 와 신버전 UI가 있었다는 점을 알 수 있다.

 

구버전은 택배사임을 전혀 인지할 수 없는 단순 휴대폰본인인증의 UI 였으나, 최근 수신되는 문자패턴은 CJ대한통운 서비스인것처럼 UI를 속인형태로 변경이 되었다.

 

 

과거에는 인증번호가 수신되었으나, 현재는 인증번호가 수신되지 않아 피해가 발생한 사례는 확인되지 않았으나 이러한 문자패턴이 지속적으로 수신되고 있는정황을 보아 스미싱 범죄조직이 지속 발신을 하고 있는것으로 추정되고 있다.

 

 

 

끝으로

스미싱 사이트의 가장 큰 특징은 크게 4가지로 나뉘어볼 수 있다.

  1. 악성애플리케이션을 설치 유도
  2. 핸드폰 본인인증을 유도
  3. 계정 정보 입력을 유도
  4. 단축 URL 이나 xyz, top, cc, info 등 비주류 도메인을 주로 사용

택배사나 우체국등에서는 핸드폰 본인인증을 통해 정보를 확인하는 경우는 없으므로 주의해야 되는 점이 있다.

 

참고

CJ대한통운 스미싱 조직의 iOS 사이트 취약점 확인? (20200504)

특정 오픈마켓 취소 처리로 위장한 택배사 스미싱 주의! (2020.04.25)