네이버 클라우드 마이박스 사칭 공격 메일 사례

 

 

코로나가 발생했던 재작년부터 많은 회사들이 재택 근무를 했기 때문에, 관련 업무를 하면서 그 이전보다 메일 사용 빈도가 늘었다는 것은 모두가 아는 사실이죠. 그에 맞춰 피싱 메일들도 폭발적으로 증가하면서, 굉장히 정교하면서 교묘한 전략을 사용하고 있습니다. 일전에 이와 관련하여 해외 로그인이나 네이버 인증서, 전자문서 등을 사칭한 피싱 메일을 분석한 내용을 올리기도 했는데요. 처음에는 뭔가 딱 봐도 어색한 티가 많이 났었는데, 요즘은 이게 정말인지 구분하기도 어려워졌습니다. 잘못하면 해커에게 계정 정보를 헌납할 수 있기 때문에 정말 조심해야하는데, 오늘은 네이버 클라우드 서비스인 마이박스를 사칭한 피싱 메일 사례에 대해 말씀드리겠습니다.

 

일회용 로그인 번호에 의한 접속 피싱 메일

 

제가 이전에 올려드린 글들을 보시면, 정말 네이버에서 보냈나 싶을 정도로 비슷한 형태로 피싱 메일이 온다는 것을 아실 수 있습니다. 이 피싱 메일이 어떤 절차로 개인정보를 유출하는지는 너무 많이 설명드렸기 때문에 여기서는 생략하고요. 이 피싱 메일들을 보다보면 컨텐츠만 바꿔가면서, 결국에는 동일하게 네이버나 구글과 같은 로그인 페이지로 접속하게끔 한다는 것을 확인하실 수 있죠. 공식 사이트의 로그인 페이지와 완전히 똑같은 피싱 사이트를 하나 만들어놓고 계정 정보를 입력하도록 유도하기 때문에, URL을 비교해보거나 일부러 아이디와 비밀번호를 잘못 입력해서 경고창을 확인해보라고 알려드렸었습니다.

이번 피싱 메일의 경우는 네이버의 클라우드 서비스인 MYBOX를 사칭하였는데요. 네이버의 MYBOX는 파일을 올려두고 다른 유저들과 공유할 수 있는 기능을 제공하고 있는데, 이때 보내지는 메일의 형식을 완전하게 카피했다고 보시면 됩니다. 피싱 메일을 보면 실제 MYBOX 공유 메일과 디자인과 문구가 완전히 동일하기 때문에 이게 피싱 메일인지 의심하기 어렵죠. 정상적으로 MYBOX 공유 메일을 받았다면 수락하기 버튼을 누를 때는 로그인 페이지로 넘어가지 않기 때문에 이점을 꼭 기억하시고 피해를 입는 일이 없으셨으면 합니다.

 

국내 포털사 클라우드 서비스 사칭 공격 포착...북한 소행 해킹 잇따라 - 데일리시큐

 

저도 이런 메일들을 굉장히 많이 받기 때문에, 메일이 네이버에서 온 것인지 아닌지 구분하는 방법에 대해 굉장히 많이 생각했었는데요. 일단 네이버에서 온 메일은 메일 제목 왼쪽에 네이버 아이콘이 표시되어 있다는 것을 아시고 계시면 좋습니다. 그리고 이전에는 보낸 메일 주소로 구분을 하라 했는데, 최근에는 굉장히 흡사하거나 심지어 보낸 메일 주소도 바꿀 수 있기 때문에 큰 의미는 없을 듯 하고요. 수락 버튼 등을 누르시기 전에 오른쪽 마우스에서 URL 복사를 한 다음 메모장에 붙여넣어서 마지막이 "naver.com"으로 끝나는지 도메인을 꼭 확인하시기 바랍니다. 그럼 오늘은 여기서 마무리 짓도록 하죠. 읽어주셔서 감사합니다.