​

최근발주서파일로위장하여“NAVERWORKS(네이버 웍스)”계정 탈취를목적으로발송되는피싱 메일이발견되어사용자들의주의가필요합니다.

이번에발견된메일은“[플***]-(발주서송부의건)”라는제목으로수신되었으며,특정업체명을도용해실제기업에서발송한것처럼위장했습니다.

사용자가메일에포함된첨부파일을실행하면사용자온라인 바카라를탈취하는전형적인“스피어피싱”방식입니다.

사용자가발주서내용확인을위해첨부된파일을다운로드하여실행할경우,브라우저를통해“NAVERWORKS”계정과패스워드를가로채기위한피싱페이지로연결됩니다.

첨부된 파일의 대한 온라인 바카라는 다음과 같습니다.

이메일을통해유포된피싱사이트의이전유형들의경우,첨부파일실행시나타나는피싱사이트에사용자가온라인 바카라를입력하면개인온라인 바카라수집사이트로바로이동하는방식이대다수였습니다.

그러나이번에발견된피싱사이트는사용자가로그인을위해이메일을등록하면계정과패스워드온라인 바카라입력을위한실제피싱사이트로사용자를이동시키는방식으로두단계에걸쳐진행됩니다.

사용자가입력한NAVERWORKS로그인온라인 바카라는아래공격자서버로전달됩니다.

- 개인 온라인 바카라 수집 사이트

hxxps://lukesbeautysalon[.]com/style/design/pkan/login.php

- 개인온라인 바카라 전달 서버 IP

86.104.15.60

개인온라인 바카라가전달된후에는실제"NAVERWORKS로그인"페이지로리디렉션됩니다.

현재이스트시큐리티‘쓰렛인사이드(ThreatInside)’에서는해당피싱사이트를아래와같이탐지하고있습니다.