□ 개요
대한항공을 사칭하여 송장 피싱메일이 유포되어 국내 사용자들의 주의가 필요하다.
□ 내용
발신인을 확인해보면 'Korean Air'로 되어 있으며, 내용을 보면 마치 대한항공社에서 보낸 메일로 위장하여 수신인은 의심 없이 첨부된 파일을 열람할 가능성이 있다.
[그림 1] 피싱메일
피싱 웹사이트는 어도비 아이콘과 명칭을 사용하고 있다. 어도비는 널리 알려져 있는 프로그램이기 때문에 의심하지 않으면, 피싱메일 수신인은 속아 넘어가기 쉽다.
[그림 2] 피싱 웹페이지
로그인 정보와 패스워드를 탈취하여 C&C 서버로 전송한다.
[그림 4] 파라미터 값
피싱 웹사이트의 HTML 소스코드를 확인해보면 C&C 서버주소를 확인할 수 있다.
[그림 5] HTML 소스 코드
해당 피싱메일은 국내 모 연구원이 수신한 내용이며, 해당 정보 유출이 또 다른 사이버 피해의 시발점이 될 수 있기 때문에 메일 열람 시 주의를 기울여야 한다.
□ 바이로봇 업데이트 내역
- EML.S.Phishing
- HTML.S.Phishing