상세 컨텐츠

본문 제목

ESRC 9월 스미싱 트렌드 보고서

악성코드 분석 리포트

by 알약3 2022. 10. 27. 16:13

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

 

9월은 8월과 마찬가지로 건강검진 키워드를 사용하는 스미싱이 공격을 주도하고 있습니다. 이는 택배 스미싱 공격보다 건강검진 키워드를 사용하는 공격이 보다 효과적이기 때문에 공격자들이 적극적으로 활용하고 있는 것으로 추측하고 있습니다.

 

건강검진을 키워드로 하는 스미싱 공격이 77.62%를 차지하고 있으며 8월 대비 27.55% 증가했습니다. 뒤를 이어 택배를 키워드로 하는 스미싱 공격은 13.89%로 8월 대비 19.63% 감소했습니다. 

 

그리고 보이스피싱을 유도하는 내용의 스미싱 공격이 5.09%를 차지하고 있으며 8월 대비 3.04% 감소했습니다. 마지막으로 수사기관을 사칭하는 스미싱 공격이 0.9%를 차지하고 있습니다. 8월 대비 2.33% 감소했습니다. 

9월의 스미싱 트렌드를 살펴보도록 하겠습니다. 

 

 

9월 스미싱 트렌드

 

 

ESRC에서 수집 한 9월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.

9월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.

 

키워드 SMS 내용
택배 택배 도착, 주소지 오류 등의 문구로 구성
건강검진 건강 검진 결과 등의 문구로 구성
보이스피싱 피해자 전화를 유도하는 문구로 구성
수사기관사칭 수사 기관을 사칭하여 관심을 유도하는 문구로 구성

[표 1] 수집 스미싱 문자들의 키워드 기반 분류

 


다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.

 

[그림 1] 스미싱 키워드 별 비율



그림을 살펴보면 대부분의 스미싱 공격이 건강검진과 택배 키워드를 활용하고 있음을 알 수 있습니다.  


공격 비율은 건강검진 스미싱이 77.62%를 차지하고 있으며 택배 스미싱 문자가 13.89%, 보이스피싱을 유도하는 스미싱 공격이 5.09%, 마지막으로 수사기관 사칭 스미싱 공격이 0.9%를 차지하고 있습니다. 


건강검진 키워드를 활용하는 스미싱 공격이 두달 연속 큰폭으로 증가했습니다. 이는 기존의 택배 스미싱 공격보다 건강검진 키워드를 사용하는 스미싱 공격이 보다 더 효과적이기 때문일 것이라 유추할 수 있겠습니다.

다음 그림은 발견된 스미싱 문자들의 화면입니다.
 

[그림 2] 스미싱 문자   

 

 

이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 건강검진 스미싱 문자부터 살펴보도록 하겠습니다. 

다음은 건강검진 스미싱 문자들을 정리한 것입니다.

 

건강검진 발견비율
[Web발신][국민검진공단]신체검사 통지서 발송완료내용확인:xxxx.xxxx[.]cash  24%
[Web발신][국민건강보험]종합전면검사 통보서 발송완료.내용확인[xxx.xxxx[.]show]   23%
[Web발신][건강보험센터]건강검사 통보서 전송완료,내용확인:xxx.xxxx[.]media     18%
[Web발신][국민건강보험]신체검사 통지서 발송완료내용확인:xxxx.xxxx[.]cash  16%
[Web발신][국민건강검진]종합건강검사 통보서 전송완료,내용확인:xxxx.xxxx[.]live   9.8%
[국민건강검진]건강검사 통보서 발송완료.내용확인:xxx.xxxx[.]pro  2.4%
[Web발신][건강보험센터]종합건강검사 통보서 결과발송, 내용확인 [xxxx.xxxx[.]biz]     1.8%
[Web발신]건강검사 통보서 발송완료,내용확인:xx.xxxx[.]Live   1.1%
[Web발신][건강보험공단]신체검사 통보서 발송완료내용확인:xxxx.xxxx[.]city  1%
[Web발신][국가보험공단]종합신체검사 통보서 전송완료,내용확인:xxxx.xxxx[.]media  0.7%

[표 2] 건강검진 스미싱

 


건강검진 스미싱 공격은 8월 대비 27.55% 증가했습니다. 위 표를 살펴보면 건강검진 스미싱의 내용은 통보서나 통지서를 발송했다는 내용으로 이루어져 있는 것을 알 수 있습니다.


피해자가 건강검진 스미싱 문자를 받게 된다면 건강검진과 관련된 문서를 받은 것으로 오인하여 링크를 클릭하게 되고 건강검진 관련 문서가 아닌 악성 앱을 다운로드하게 됩니다.


다운로드한 악성 앱은 피해자의 개인정보 탈취를 목적으로 제작되어 있으며 신분증, 금융 정보등의 민감한 개인정보 탈취를 시도합니다.

다음은 택배 스미싱 문자들을 정리한 것입니다.

 

택배 발견비율
[대한통운] 송장번호(5901********69) 주 소 불일치로 물 품"보"관중입니다: bit[.]ly/xxxxxxx 부탁드립니     13%
대한통운, 고객 물품 배송 실패 주소 불일치로 배송 불가 주문 즉시 수정: hxxps://han[.]gl/xxxxx    11%
[대한통운]고객님 물품 배송 불가 "주"소 오류 즉시 수정 부탁드립니다.[ hxxps://bit[.]ly/xxxxxxx  5.7%
[국외발신][대한통운] 송장번호(5891*96):주: 소불일치로 물품보관중입니다.아래문의: bit[.]ly/xxxxxxx 부탁드립니  5%
[대한택배], 고 객상품 배송불가 :주:소 오류 배 송불가 즉 시 수정: [ han[.]gl/xxxxx ]    3.6%
[국외발신][CJ대한통운]송장번호 62-*5-14* 배송오류 배송지를 설정해주세요 문의하기hxxps://bit[.]ly/xxxxxxx     3.6%
대한통운, 고객 택배 배송 실패 "주"소 오류 즉시 처리: hxxps://han[.]gl/xxxxx  3.6%
[Web발신]배송불가 도로명불일치 앱 다운로드 주소지확인 부탁드립니다 hxxp://xxxxx.xxxxx[.]com    2.9%
고객님 택배 배송 실패 주소가 명확하지 않으니 바로 주소 변경해주세요.[ xx.xxxxxxxx[.]top/xxxx ]  2.2%
고객님 택배 배송 불가 주소 오류 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]cn/xxxxxx ]   2.2%

[표 3] 택배 스미싱

 


9월 택배 스미싱의 주요 내용은 주소 등이 잘못되어 배송이 안된다는 내용으로 큰 변화가 없습니다. 이런 내용들은 택배를 이용하는 피해자들이 스미싱 문자의 내용을 실제 택배의 문자로 오인하여 링크를 클릭하도록 유도하기 위한 것으로 판단됩니다. 택배 관련 문자를 받으신다면 주의를 기울여 살펴보셔야 하겠습니다.

다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.

 

보이스피싱 발견비율
[국제발신] (주)메이시스 753.250원 승인번호(97685) 정상처리완료 고객센터:050-xxxx-xxxx    14%
[국제발신] NSmall [해외배송] 고객님 9월5일 687,890원 결제완료 본인아닐시 상담센터:02-xxxx-xxxx   9.8%
[국외발신]OOO님 [해외직구]968.900원 승인완료.(본인 아닐경우 소비자원으로신고:050 xxxx xxxx)  9.8%
[국외발신][해외승인] 고객님 9월1일 956,000원 결제완료 본인아닐시 문의 상담센터:05050588996    5.9%
[국제발신] OOO님 [해외직구]한화734.800원 결제완료.본인 아닐시소비자원(050-xxxx-xxxx)으로 신고.    5.9%
[국외발신] OOO님 [해외직구] 본인실명인증완료 KRW:865,180원 결제완료 사고신고접수:xxxx-xxxx   3.9%
OOO님 주문하신 자코모 가죽소파 [국민은행] 1,187,000원 결제완료 본인아닌경우 신고 전화문의:050-xxxx-xxxx   3.9%
[국제발신][LF몰]결제완료 금액:711,000원 본인아닐시 피해구제센터 문의:031-xxx-xxxx     3.9%
[국제발신] 고객님 해외직구 962,300원 완료 통관고유부호 안내문의: 02-xxxx-xxxx    1.9%
[국제발신][해외직구] OOO님 "595,800원"처리완료.(본인구매 아닐시 소비자원으로 신고:050 xxxx xxxx.)   1.9%

[표 4] 보이스피싱 유도 스미싱

 


기존의 스미싱과 달리 악성 앱을 유포하는 url 대신 공격자의 전화번호를 포함하고 있는 특징이 있습니다. 이는 문자를 통해 악성 앱을 유포하는 대신 전화 통화를 유도하는 방식으로 피해자가 공격자에게 전화를 하게되면 공격자가 피해자에게 악성 앱 설치를 안내하여 악성 앱을 유포하는 방식입니다.


피해자는 특정 쇼핑몰 등의 고객센터로 오인하여 공격자가 안내하는 특정 사이트에 접속하게 되며 이 사이트를 통해 악성 앱을 설치하게 됩니다.

다음은 수사기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
 

 

수사기관사칭  발견비율
[Web발신][교통민원24(이파인)]교통위반처분통지서 발송 완료 hxxp://xxxxx.xxxxx[.]uno   33%
[국제발신] OOO [외교부 전자금융거래위반] 대검찰청 이관처리 사건번호 2022조사7403호 사건문의 담당사무관:xxxx-xxxx    22%
[Web발신][24-관리센터]도로안전법규위반과태료고지서 hxxp://xxxx.xxxxx[.]gay     11%
[Web발신][24-관리센터]위반과속운전자동차벌점통지서 hxxp://xxxxxx.xxxxxx[.]gay    11%
[Web발신][교통민원24(이파인)]차량 법규 위반 벌점 처분 통지서 발송 완료 hxxps://bit[.]ly/xxxxxxx  11%

[표 5] 수사기관사칭 스미싱

 


수사기관사칭 스미싱은 경찰, 검찰등의 수사기관을 사칭합니다. 8월에 발견된 수사기관사칭 스미싱들은 경찰을 사칭하여 교통 법규를 위반했다는 내용으로 구성되어 있습니다.


공격자들은 차량을 이용한 이동이 잦은 휴가철을 노려 수사기관사칭 스미싱을 유포한 것으로 판단됩니다. 즉, 공격자들은 이런 스미싱 문자를 받은 사람이 운전을 하는 사람이라면 쉽게 속일 수 있을 것이라 판단한것으로 유추할 수 있습니다.

다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.

스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.
  

[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지

 

 

알약M의 악성 앱 탐지 화면

  

[그림 4] 스미싱 악성 앱 탐지 화면

 

 

관련글 더보기

댓글 영역