최근 받았던 스팸 메일 다섯통을 정리했습니다.

2019-12-02 : 선적 서류

메일

이상한 메일이 왔습니다.
제목이 선적 서류(Shipping Document)이고 첨부파일의 이름을 보니 소주와 원심 분리기 3개를 구매하려는 평범한 메일로 보여지길 원한 듯 싶습니다. 첨부파일 외에 내용은 없습니다.
첨부파일은 htm 파일 두 개이고 하나는 엑셀 파일로 위장을 시도하고 있습니다. 두 개의 파일 내용은 완전히 같습니다.

로그인

파일을 열어보면 네이버 로그인 페이지와 유사한 모습을 볼 수 있습니다.
로그인 버튼을 누르면 아이디와 패스워드를 어디론가 전송할 것같습니다.

코드

소스코드를 살펴보면 어떤 사이트의 bin.php로 데이터를 전송합니다.
다른 경로들로 들어가보니 디렉토리 리스팅이 됐고 백업 용도인지 뭔지 fashion.zip 파일이 보이길래 받아버렸습니다.
압축 파일 내용물에 cm5라는 이름의 폴더는 없었지만 서로 다른 이름들의 폴더들이 존재했고 폴더 마다 네이버 피싱 코드들이 들어있었습니다.
그리고 bin.php와 동일한 것으로 판단되는 php 파일도 확인할 수 있었습니다.

코드

php 파일에서는 전달 받은 아이디와 패스워드, 그리고 피해자의 IP까지 공격자의 메일로 전송합니다. (디렉토리가 여러개 있었는데 디렉토리 마다 공격자의 이메일이 다름)

파일

테스트 흔적으로 보이는 txt 파일도 있습니다. IP는 한국의 IP 였습니다.

메일

보낸사람의 메일 주소가 네이버 메일이길래 블로그에 들어가 봤더니 특별한 것은 없어보였고 계정이 해킹당했을 수도 있습니다고 생각했습니다.
저는 받는사람이 아니라 숨은참조였는데 받는사람 메일도 네이버였고 아이디가 핸드폰 번호였습니다. 블로그에 가봤더니 침대 매트리스를 판매하는 평범한 블로그였습니다.

Untitled/Untitled%205.png

피싱에 이용된 도메인은 피싱을 위해 가짜로 생성한 홈페이지 같습니다.
전화번호도 그렇고 페이지도 엉성하고 Lorem ipsum들로 채워져 있습니다.
아니면 누군가 테스트용으로 만들었다가 해킹당했을 수도 있을 것 같네요.

3개월도 더 된 메일인데 지금 다시 들어가보니 첨부파일에 나타난 경로는 없어졌고 피싱 관련 파일들은 전부 삭제됐습니다.

2019-12-09 : Product-Inquiry

메일

뉴질랜드의 어느 회사를 사칭한 메일입니다.
왜 안녕하세요만 한글로 썼을까요..
제품의 주문서로 위장한 파일 두 개가 첨부되어 있습니다.
주문서인데 왜 jpg로 위장하려고 한걸까요..
jpg로 위장하고 있는 html 파일입니다.

피싱

파일을 다운받고 열어보면 네이버 로그인 화면과 유사한 페이지가 나옵니다.
로그인 버튼을 누르면 또 어디로 전송하겠지..

코드

코드를 보니 어떤 홈페이지의 thanks.php로 연결됩니다. 괘씸한 이름입니다.
이건 더 봤는지 안 봤는지 기억이 안 나는데 저 도메인은 정지먹었습니다.

보낸사람과 받는사람의 메일이 일치하고 저는 숨은참조입니다.
메일 계정이 네이버꺼여서 또 블로그를 들어가 봤는데 “p2p사이트추천 다운”이라는 제목의 게시글 하나가 올라가 있었습니다. 해킹당한 계정일 것으로 추측됩니다.

2020-02-05 : 구매 주문

메일

자꾸 저한테 뭘 사려는 사람이 많습니다.
보낸사람 블로그를 봤는데 화물 운송 업체 관련 담당자였고 블로그도 최근까지 사업 얘기로 활발합니다. 머지?

피싱

역시나 네이버 로그인 피싱이네요.

코드

밖에 있을 때 받은 메일이라 당시에는 보고 잊어버렸었습니다.
도메인은 아직 들어갈 수 있지만 코드에 나타난 경로는 없어진 상태입니다.
그래도 정상적인 사이트는 아닌것으로 보입니다.
의류 쇼핑몰 처럼 생겼고 상품과 가격도 올라와 있지만 클릭하면 amazon으로 연결됩니다.
다른 의류 쇼핑몰을 사칭한 것 같은데, 이 도메인의 중간에 있는 하이픈(-)을 빼면 인도의 여성 의류 쇼핑몰 주소가 됩니다.
(근데 이것도 들어가보면 도박 사이트로 바뀌어있습니다;)

2020-02-08 : Apple ID

메일

Apple ID를 비활성화 시키고 어느 기간이 지나면 삭제되는 것으로 알고 있습니다.
마침 비활성화 시켜놨던 계정이 있어서 그건가 싶어 헐레벌떡 메일을 열어봤습니다. (다시 활성화 시켰는데 까먹음)
근데 메일 내용은 무슨 뚱딴지 같은 말을 하고 있습니다.
보낸사람도 Apple 도메인의 메일이 아닙니다.
“취소”를 클릭하면 어떻게 될까..
혁진님(개발 고수, git 마스터)한테 이런 메일이 왔다고 말했더니 누르지 말라길래 바로 눌러봤습니다.

피싱

Mail Apps Make My Accounts 라는 대담한 도메인..

아쉽게도 이미 닫혀있었습니다.
이런 이메일을 받은 사람이 있는지 검색해보니 원래는 Apple 계정 로그인 피싱 사이트라고 하네요.

도메인

도메인 정보를 검색해보니 GoDaddy.com을 통해 2020년 2월 6일 목요일에 등록됐습니다.
8일인가 9일에 메일 확인하고 들어갔을 때부터 연결이 안됐던걸 보면 엄청 짧은 기간 동안만 열려있었던 것 같습니다.

2020-02-12 : Delivery

메일

DHL을 사칭한 메일입니다. (유명한 곳이라고 함)
뭘 배달하려고 4시간 전에 우리집에 왔었는데 제가 없었다고 합니다.
형광펜으로 칠한 것 같은 두 문장에 링크가 걸려있는데 동일한 주소로 링크가 되어 있습니다.

피싱

뜬금없게도 다짜고짜 이메일과 패스워드를 입력하라고 합니다.

다른 경로를 봤더니 디렉토리 리스팅이 되어버려서.. zip 파일을 받고.. php 파일의 내용을 볼 수 있었습니다.
입력한 이메일과 패스워드를 공격자의 이메일로 전송합니다.
IP와 User Agent, Country, Date 정보까지 보냅니다.

.htaccess와 robots.txt에는 다른 경로를 통한 노출을 피하기 위해서인지 특정 ip 대역들과 bot들의 접근을 deny하고 있었습니다. (.htaccess는 5944줄)

해당 사이트는 아직도 접근이 가능합니다.