스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 경찰청에서는 [① ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지내 인터넷주소 클릭하면 → ② 악성코드가 스마트폰에 설치되어 → ③ 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취] 으로 정의하는 신종 금융범죄입니다.
스미싱의 대표적인 유형으로는 돌잔치, 결혼식, 택배 등이 주를 이루고 있습니다.
이번에 알아볼 것은 Android 사용자를 대상으로는 택배 스미싱 공격을, IOS 사용자를 대상으로는 Apple ID 탈취를 시도하는 유포 사례에 대해 알아보겠습니다.
cj택배 배송했습니다 https://f31***[.]tumblr[.]com/?*****
스미싱 문자에 포함된 주소를 클릭하면,
Tumblr(미국의 마이크로블로그 플랫폼)를 경유하여
최종적으로 미국에 위치한 서버에서 호스팅되고 있는 스미싱 사이트에 도착하게 됩니다.
흥미롭게도 최종 도착한 페이지에서 User Agent체크를 하여 만약 페이지에 접속한 사용자가 IOS를 사용중일 경우, Apple ID 피싱 페이지로 다시 리다이렉트 하는 모습을 볼 수 있습니다. 이는 IOS 유저가 apk파일을 설치할 수 없는 이유때문일 것이라 추측됩니다.
Apple ID 피싱 페이지에 접속 후 ID를 입력하면 다음과 같은 창이 뜨는데
여기서 입력한 전화번호가
http://security***-apple[.]***/api/Sam***Data/phone/(입력한 휴대폰 번호) 로 전송되고
http://security***-apple[.]***/api/Sam***Data/code/(입력한 인증코드) 로 전송되는것으로 보아,
전화번호 입력 시 인증코드가 발송될 것으로 추측됩니다.
(이 글을 작성하는 현재 인증번호 발송이 작동하지 않고 있습니다.)
[관련 링크]
▷[보안 뉴스]추석 앞두고 택배·소액결제 등 사칭 ‘스미싱’에 속지 마세요
https://www.boannews.com/media/view.asp?idx=82755
추석 앞두고 택배·소액결제 등 사칭 ‘스미싱’에 속지 마세요
과학기술정보통신부(장관 유영민), 방송통신위원회(위원장 이효성), 금융위원회(위원장 최종구), 금융감독원(원장 윤석헌), 경찰청(청장 민갑룡)은 추석 연휴를 앞두고 택배 배송 확인, 소액 결제 문자 등을 사칭한 스미싱(smishing)이 증가할 것으로 예상되어 이용자들의 주의를 당부했다.
www.boannews.com
▷[경찰청]신종금융범죄 스미싱
https://www.police.go.kr/portal/main/contents.do?menuNo=200567
경찰청 - 신종금융범죄
정의 문자메시지(SMS)와 피싱(Phishing)의 합성어로, ① ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일 청첩장’ 등을 내용으로 하는 문자메시지내 인터넷주소 클릭하면 → ② 악성코드가 스마트폰에 설치되어 → ③ 피해자가 모르는 사이에 소액결제 피해 발생 또는 개인·금융정보 탈취 피해유형 스미싱에 이용된 변종 악성코드는 소액결제 인증번호를 가로채는 것에 그치지 않음 최근에는 피해자 스마트폰에 저장된 주소록 연락처, 사진(주민등록증·보안카드 사본),
www.police.go.kr
'Security > 스미싱,피싱' 카테고리의 다른 글
| 유효한 SSL 인증서를 사용하는 Amazon피싱 사이트 주의 (0) | 2020.10.11 |
|---|---|
| 국내 오픈마켓에 등록된 계좌 송금 유도 사기 주의 (0) | 2020.08.15 |
| Facebook방문자 추적기로 위장한 페이스북 액세스 토큰 탈취 주의 (0) | 2017.10.16 |
| 사회공학적 기법이 적용된 페이스북 토큰털이 주의 (1) | 2017.09.05 |
| 20170423피싱사이트 (0) | 2017.04.23 |
