단가 인상 공문 피싱 메일

안랩(대표 강석균)은 최근 전 세계적인 공급망 불안을 틈타 단가 인상 공문으로 위장해 계정 정보 탈취를 시도하는 피싱 메일을 발견하고 사용자 주의를 당부했다.

이번 사례에서 공격자는 ‘단가 인상 공문’이라는 제목으로, 협력업체의 업무 메일처럼 꾸민 피싱 메일을 유포했다. 메일 본문에는 ‘최근 원자재 가격 상승으로 인해 부득이하게 단가 인상을 시행한다’는 내용을 담고, 관련 공문을 확인하라며 첨부파일 클릭을 유도했다.

메일에 첨부된 ‘단가 인상 공문’ PDF 파일을 실행하면, PDF 뷰어를 다운로드해야 한다는 화면이 나타난다. 화면의 ‘다운로드’ 버튼에는 하이퍼링크가 삽입되어 있으며, 이를 클릭할 경우 로그인 페이지로 위장한 피싱 사이트로 연결된다).

사용자가 PDF 뷰어 다운로드를 위한 절차로 착각해 가짜 로그인 창에 이메일 계정과 비밀번호를 입력하면, 해당 정보가 공격자의 서버로 전송된다. 탈취된 계정 정보는 기업 내부 시스템 침투, 추가 피싱 공격 등 다양한 악성 행위에 악용될 수 있어 주의해야 한다.

피해 예방을 위해서는 △발신자 이메일 주소의 도메인 유효성 확인 △발신자가 불분명한 메일 내 첨부파일 및 URL 실행 금지 △PC, OS(운영체제), SW, 인터넷 브라우저 등에 대한 최신 보안 패치 적용 △백신 실시간 감시 기능 활성화 등 기본 보안 수칙을 지켜야 한다.

이번 사례를 분석한 안랩 분석팀 이익규 매니저는 “최근 중동발 원자재 수급 불안, 메모리 가격 급등 등 업계 관심이 높은 이슈를 악용해 정상적인 업무 메일로 오인하게 만드는 피싱 시도가 이어질 수 있다”며 “업무 관련 메일이라 하더라도 발신자 이메일 주소와 첨부파일, URL의 진위를 반드시 확인하고, 의심스러운 웹사이트에는 개인 및 계정 정보를 절대 입력하지 않아야 한다”고 말했다.

안랩 V3 제품군과 샌드박스 기반 지능형 위협 대응 솔루션 ‘안랩 MDS’는 본 메일로 유포 중인 URL에 대한 탐지 기능을 지원한다. 또한 안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(안랩 티아이피)’에서 이번 사례를 포함한 다양한 피싱 공격 동향과 보안 권고문, 침해지표(IoC) 등을 제공 중이다.