계정 해킹 및 데이터 도난을 사칭한 피싱(scam) 메일 분석

 

"본 블로그의 모든 정보는 합법적이고 윤리적인 보안 연구와 교육 목적으로만 사용되어야 합니다. 불법적인 해킹 및 악의적인 활동에 사용될 경우, 그 책임은 전적으로 사용자에게 있습니다."

 

계정 해킹 및 데이터 도난을 사칭한 피싱(scam) 메일 분석

 
 
□  개요 
    계정 해킹 및 데이터 도난을 사칭한 사회공학적 피싱(scam) 메일로, 취약한 웹사이트 또는 타 경로를 통해 탈취한 계정(아이디/패스워드)정보를 기반으로 '개인 컴퓨터(PC, 모바일)를 해킹했다고 협박하며,  컴퓨터에서 확보한 개인영상과 연락처 등을 유포하겠다며 가상화폐(비트코인) 입금을 유도하는 사칭 메일 임.
    ※ 스캠 메일(Scam Email) : 사기 목적으로 발송되는 이메일로, 수신자로부터 금전, 개인정보, 또는 민감한 정보를 갈취하려는 시도를 포함합니다. 스캠 메일은 다양한 심리적 압박 기법과 사회공학적 기법을 사용하여 수신자를 속이는 것이 특징입니다.
 
□  이메일 수신 원본  

제목 :  Your account is hacked. Your data is stolen. Learn how to regain access Hi, I am a hacker, and I have successfully gained access to your operating system. I also have full access to your account. At the time of hacking your account had this password: ******** (마스킹 처리) I've been watching you for a few months now. The fact is that your computer has been infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence. Why did your antivirus not detect malware? Answer: The malware I used is driver-based, I update its signatures every 4 hours. Hence your antivirus is unable to detect its presence. I made a video showing how you satisfy yourself in the left half of the screen, and the right half shows the video you were watching at the time. With one mouse click, I can send this video to all your emails and contacts on your social networks. I can also make public all your e-mail correspondence and chat history on the messengers that you use. If you don't want this to happen, transfer $1270 in Bitcoin equivalent to my Bitcoin address (if you do not know how to do this, just search "buy bitcoin" on Google). My Bitcoin address (BTC Wallet) is: bc1qyd8ndnrz6zk40k7mkp7hg43v8psla6dw3mdq8j After confirming your payment, I will delete the video immediately, and that's it. You will never hear from me again. I will give you 50 hours (more than 2 days) to pay. I will get a notice, when you open this email, and the timer will start. Filing a complaint somewhere does not make sense because this email cannot be tracked like my Bitcoin address. I never make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Best regards!

 

 

□  해커의 주장  
    1. 사용자의 계정에 접근했으며, 과거 비밀번호(예: ********)를 알고 있다고 언급  ->  진실

       ※ 해당 패스워드는 개인이 직접 가입했던  취약한 웹사이트 또는 타 경로를 통해 탈취된 것으로 보이며, 탈취시 확보한 이메일 주소로 컴퓨터 해킹을 주장하며 심리적 부담감을 높임(* 현재 또는 이전에 사용하였던 패스워드를 알고 있으니, 컴퓨터가 진짜 해킹되었다고 생각하게 만듬)

    2. 트로이 바이러스를 사용해 컴퓨터를 감염시켰으며, 카메라, 마이크, 이메일, 서신 등을 완전히 제어할 수 있다고 주장  -> 거짓

    3. 악성코드는 4시간마다 서명을 업데이트하여 백신 프로그램으로 탐지할 수 없다고 설명   -> 거짓

    4. 몇 달 동안 사용자를 감시해왔으며, 화면 활동 및 방문 기록(성인용 사이트 포함)을 추적했다고 협박   -> 거짓

---

 

□  해커의 요구사항  

   1. $1270를 지정된 비트코인 주소로 전송하라고 요구

       ※ 비트코인 주소(BTC Wallet) : bc1qyd8ndnrz6zk40k7mkp7hg43v8psla6dw3mdq8j

   2. 비트코인 구매 방법은 "비트코인 구매"를 구글에서 검색하라고 안내

   3. 결제 후, 동영상을 삭제하고 추가 연락은 없을 것이라고 주장

   4. 비트코인 미 전송시 사용자의 동영상을 이메일, 소셜 네트워크 연락처, 메신저 기록에 배포하겠다고 협박

   5. 50시간 내 결제가 이루어지지 않으면 동영상이 자동 배포된다고 주장

 

 

□  대응방안  

   1. 이메일 본문에 표기된 패스워드는 실제 본인이 가입한  취약한 웹사이트 또는 타 경로를 통해 탈취된 것으로 보이므로 해당 패스워드를 사용하는 모든 웹사이트 등 계정은 패스워드를 변경하도록 함.

   2.  해커가 해킹했다고 주장하는 컴퓨터/모바일 기기는 해킹 당한 상태가 아니므로 비트코인은 입금하지 않도록 함.

 

이상.  끝.