출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=95756&page=1&kind=1 

비밀번호 알림 재설정’ 제목으로 기업용 이메일 서비스 ‘하이웍스’ 계정정보 탈취 시도

[보안뉴스 권 준 기자] 중소기업에서 많이 사용하는 기업용 이메일 서비스를 사칭한 계정탈취 목적의 악성 메일이 기승을 부리고 있는 가운데 19일에도 국내 대표적인 기업용 이메일 서비스 ‘하이웍스(hiworks)’를 사칭한 악성 메일이 또 다시 유포됐다.

지난 3월 1일과 2일 사이에 걸쳐 ‘하이웍스’ 등 기업용 이메일 서비스를 사칭한 악성 메일 3종이 잇달아 유포된 데 이어 3월 들어서만 네 번째에 달한다.
 

▲19일 하이웍스를 사칭해 비밀번호가 만료된다는 내용으로 유포된 악성 메일[사진=보안뉴스]

이번에 발견된 악성 메일은 19일 오후 3시경 유포됐으며. ‘비밀번호 알림 재설정’이라는 제목으로, 보낸 사람은 ‘Account Update’로 기재돼 있다. 메일 본문에는 하이웍스 영문 로고(hiworks) 아래 ‘안녕하세요 사용자, 이메일의 비밀번호가 오늘 만료됩니다. 비밀번호를 변경하거나 동일한 비밀번호를 계속 사용할 수 있습니다’라는 내용과 함께 ‘내 현재 암호 유지’라는 글자에 하이퍼링크가 삽입돼 클릭을 유도하고 있다.

그 아래에도 ‘암호 초기화 정보’, ‘소중한 사용자 비밀번호가 오늘 만료됩니다. 현재 비밀번호를 사용할 수 있습니다’라는 글과 함께 ‘현재 비밀번호 유지’라는 글자를 강조해 표시했는데, 특이할만한 사항은 해당 내용 전체에 하이퍼링크가 걸려 ‘내 현재 암호 유지’라는 글자와 똑같은 계정탈취용 피싱 사이트로 이동된다는 점이다.
 

▲‘내 현재 암호 유지’라는 글자를 클릭할 경우 이동하는 계정탈취용 피싱 사이트 화면[사진=보안뉴스]

‘내 현재 암호 유지’라는 글자 또는 아래 내용 전체에 걸린 하이퍼링크를 클릭할 경우 이동하는 계정탈취용 피싱 사이트는 로그인하면 표출되는 하이웍스 이메일 화면을 배경으로 그럴듯하게 구성한 후, 하이웍스 아이디와 비밀번호 입력을 요구하는 팝업창을 띄워 계정탈취를 유도하고 있다.

이렇듯 ‘하이웍스’ 등 기업용 이메일 서비스를 사칭해 비밀번호 만료, 저장공간 부족, 메시지 보류 등의 이유로 악성 URL 접속을 유도하는 악성 메일은 매우 흔한 유형이다. 만약 피싱 사이트에서 계정정보를 입력할 경우 입력한 계정정보가 공격자들의 서버로 넘어가 2차 피해를 당할 가능성이 크기 때문에 각별한 주의가 필요하다.
[권 준 기자(editor@boannews.com)]