스팸동향리포트 2017.2분기

JiranSecurity

24시간 365일 잠들지 않는 지란지교시큐리티의 Anti-Spam Lab에서 정기 분석동향 보고서를 발표합니다. 스팸스나이퍼의 대표 국내 200여개 고객사의 이메일 데이터를 분석한 ‘2017년 2분기 스팸 메일 동향 분석 보고서’를 바탕으로 2017년 2분기 주요 스팸 동향을 확인하세요.

스팸동향 키워드

이번 2분기에는 첨부파일 실행으로 악성코드에 감염될 수 있는 국내 랜섬웨어 메일이 다양한 유형으로 발견되었습니다. 특히 해당 랜섬웨어 메일들은 실제 개인 사용자가 관련이 있을 법한 소재(자동차 과태료 고지서, 해외 배송 안내 등)를 활용해 사용자의 랜섬웨어 다운로드 및 악성 URL 클릭을 유도하는 등 사회공학적으로 진화하는 모습을 보이고 있습니다. 또한 사용자의 ID와 PW 정보 입력을 유도하여 개인정보 탈취 가능성이 있는 피싱 사이트 메일도 꾸준히 유입되었습니다.

이미지-01

스팸동향 통계분석

– 2017년 2분기 전체 메일의 양은 지난 1분기 대비 약 0.53% 증가하였는데 그 중 정상 메일은 0.59% 증가, 스팸 메일도 0.44% 증가했습니다. 작년 4분기부터 잠시 소강상태를 보였던 바이러스 메일이 이번 2분기에는13.71% 라는 다소 큰 폭의 상승률을 보였는데 이는 현재 전세계적으로 이슈가 되고 있는 랜섬웨어 메일의 유입량 증가와도 연관이 있는 것으로 보입니다.

– 스팸 메일 총 건수는 전 분기 대비 0.44% 증가하였습니다. 2017년 2분기 스팸 메일 중 가장 큰 비중을 차지하는 유형은 82%의 성인관련 메일이며 그 다음으로는 홍보, 피싱, 기타, 금융(대출)순입니다. 이번 2분기에는 각 유형의 스팸메일 유입량이 골고루 증가한 것을 확인할 수 있었는데 성인 유형은 0.25%, 홍보 유형은 1.19%, 피싱 유형은 2.11% 증가하였으며 금융(대출)은 다른 유형보다 다소 높은 5.09%의 상승폭을 보인 것으로 나타났습니다.

이미지-02

 

주요 스팸 사례

ISSUE01

공공기관, 기업명을 사칭한 국내 랜섬웨어 메일 유입

스팸동향분석 2017년 2분기

스팸동향분석 2017년 2분기2

 

 

 

 

 

 

 

 

 

첫 번째 메일은 5월 말 ~ 6월 초 무렵 집중 발송된 경찰서를 사칭하여 과태료부과 고지서를 첨부한 랜섬웨어 의심 메일입니다. 해당 메일은 경찰청 공식 도메인이 아닌 Gmail 계정으로 발송되었으며 본문에는 경찰청 이미지를 삽입하고 ‘과태료부과고지서’ 라는 압축파일을 첨부했습니다. 경찰청 사이버안전국은 해당 파일을 실행시킬 경우 컴퓨터가 다운되고 결제를 요구하는 화면이 뜨며 이로 인한 랜섬웨어 피해 가능성이 있으므로 출처 불명의 파일은 다운받지 말고 바로 삭제할 것을 권고하고 있습니다.

두 번째 메일도 글로벌 대기업을 사칭한 랜섬웨어 메일 유형입니다. 위 경찰청 사칭 사례와 같이 영수증과 배송장을 사칭한 첨부파일을 동봉하고 있으며 본문에는 배송에 문제가 생겼으니 첨부파일을 출력한 후 가까운 사무실에서 택배 물품을 받으라는 내용과 압축 해제 비밀번호가 기재되어 있습니다. 압축파일을 풀면 스크립트 파일과 doc파일이 실행됩니다. 이를 실행했을 경우PC 내 자료들을 탈취당하거나 PC 손상되는 등의 2차 피해가 발생할 수 있습니다. 최근 해외 직구 사용자가 증가하면서 관련 메일을 의심 없이 확인할 가능성이 높으므로 메일 수신자들의 각별한 주의가 필요하겠습니다.

최근 5~6월에는 해외 100여개 국가에서 12만대 이상의 PC가 랜섬웨어(워너크라이, 페트야)에 감염됐고, 국내에서도 한 호스팅 업체가 감염되어 2차 피해를 입은 사건이 발생, 전세계적으로 랜섬웨어 피해 사례가 증가하고 있습니다. 랜섬웨어에 감염되었을 경우에는 돈을 지불한다 하더라도 완벽한 복원이 불가능하므로 피해를 줄이기 위해서는 중요 자료는 항시 별도의 저장장치에 백업을 해두고, 출처가 불분명한 파일은 실행시키지 않도록 하며, OS와 스팸 차단 백신 프로그램은 최신 보안 업데이트 상태를 유지해야 합니다.

 

ISSUE02

기업을 사칭한 피싱 메일 및 사이비 종교 홍보 메일 유입

스팸동향분석 2017년 2분기3

스팸동향분석 2017년 2분기4

 

 

 

 

 

 

 

스팸동향분석 2017년 2분기5

 

2분기에는 문서파일 링크를 클릭하면 피싱 사이트로 이동하는 스팸 메일이 다수 발견되었습니다.

(좌상단부터 시계방향) 첫번째 메일은 Invoice 문서를 확인해달라는 내용과 함께 PDF 파일 링크가 걸려있는 스팸 메일입니다. 본문 하단에는 PDF문서 아이콘과 함께 다운로드 링크가 연결되어 있으나 해당 링크는 출처 불명의 사이트로 연결이 되며 계정 로그인 정보 입력을 유도하여 개인정보 탈취 가능성이 있는 것으로 확인되었다. 엑셀 문서나 스캔 문서 파일을 첨부한 뒤 특정 사이트로의 연결을 유도하거나 실행파일 다운로드가 강제로 이뤄지는 경우가 있으므로 출처가 의심스러운 링크는 클릭하지 않는 것이 좋습니다.

두번째 메일은 아마존 주문 내역 취소가 접수되었으니 확인을 바란다는 내용으로 된 스팸 메일입니다. 이 메일 유형은 본문의 URL이 변경되어 불특정 다수에게 발송되었으며 발신 이메일은 아마존 도메인과 비슷하게 작성되어 별다른 의심 없이 확인하도록 유도하고 있습니다. 본문에는 주문번호가 기재되어있으나 해당 링크를 클릭하면 아마존이 아닌 다른 사이트로 이동하게 되며 이 사이트 또한 개인정보 탈취 가능성이 높은 것으로 확인되었습니다.

세번째 메일은 사용자의 메일 사서함 용량이 부족하여 반송될 수 있으므로 미리 업그레이드를 하도록 유도하는 내용의 메일입니다. 해당 유형은 대학교 웹메일이나 포털사이트의 이름을 도용하여 유입되는 양상을 보이며 연결된 주소에 접속할 경우 도용한 사이트의 로그인 화면과 유사하게 만든 페이지로 이동하게 되어 자칫 잘못하여 입력할 경우 본인의 계정과 비밀번호를 도용당할 수 있으므로 출처가 불명한 링크는 접속하지 않도록 해야 합니다.

 


※ 위 글은 지란지교시큐리티 보안매거진에 수록된 콘텐츠를 재 업로드한 내용입니다. 구독에 참고하여 주시기 바랍니다.
※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd
목록