ESRC 2월 위너 토토 트렌드 보고서
2월의주요스미싱공격은택배를키워드로하는스미싱이주도하고있습니다.택배를키워드로하는스미싱공격은74.78%로1월대비4.69%정도감소했습니다.
뒤를이어건강검진을키워드로하는스미싱공격이13.57%를차지하고있으며1월대비4.97%감소했습니다.이들주요스미싱공격들이소폭감소한대신다른스미싱공격들이증가추세를보이고있습니다.
보이스피싱을유도하는내용의스미싱공격이6.61%,수사기관을사칭하는스미싱공격은4%,마지막으로공공기관을사칭하는스미싱공격이1.04%를차지하고있습니다.
위의통계를통해택배스미싱은여전히공격자들이선호하는키워드임을알수있으나다른유형의키워드를활용하는스미싱도증가세에있음을알수있습니다.
2월의위너 토토트렌드를살펴보도록하겠습니다.
ESRC에서수집한2월의위너 토토공격을데이터와통계를통해살펴보도록하겠습니다.
2월한달간수집된스미싱을키워드로분류하면다음표와같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착, 주소지 오류 등의 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
보이스피싱 | 피해자 전화를 유도하는 문구로 구성 |
수사기관사칭 | 수사 기관을 사칭하여 관심을 유도하는 문구로 구성 |
공공기관사칭 | 공공기관을사칭하여관심을유도하는문구로구성 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음그림은스미싱키워드별발견비율을보여주고있습니다.
[그림 1] 스미싱 키워드 별 비율
그림을 살펴보면 대부분의 스미싱 공격이 택배 키워드를 활용하고 있음을 알 수 있습니다.
공격 비율은 택배 스미싱 문자가 74.78%를 차지하고 있으며 건강검진 스미싱이 13.57%, 보이스피싱을 유도하는 스미싱 공격이 6.61%, 수사기관을 사칭하는 스미싱 공격이 4%,마지막으로공공기관을사칭하는스미싱공격이1.04%를차지하고있습니다.
다음그림은발견된위너 토토문자들의화면입니다.
[그림 2] 위너 토토 문자
이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다.
다음표는발견비율이높은상위10개의택배스미싱문자들을정리한것입니다.
택배 | 발견비율 |
▷고객님 택배 배송 실패 주♡ 소오류 즉 시수 정해 :주:세요. hxxps://is[.]gd/xxxxxx | 8% |
고객님 상품 배송 불가 ;주;소 오류 즉시 ;주;소 변경:[ hxxps://shrtlnk[.]dev/xxxxxx ] | 6.9% |
[대한통운]고객님 택배 배송 실패 주소 부정확 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 6.2% |
[Web발신] 구매하신 상품은 우체국에스 배송한것입니다 본인 확인 부탁드립니다 bit[.]ly/xxxxxx | 5.5% |
[대한통운]고객님 택배 배송 실패 즉시 주 소변경 부 탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 5.3% |
[대한통운] 고객님 택배 배송 이상 즉시 주소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]com/xxxxxx ] | 4.8% |
[대한통운] 고객님 택배 배송 실패 즉시 주.소 변경 부탁드립니다.[ xxx.xxxxxxxx[.]top ] | 4.6% |
[대한통운] 고객님 물품 배달불가 :주: 소오류 즉시 주 소변경: hxxps://kutt[.]it/xxxxxx | 4.4% |
[대한통운]고 객님 아이템 배송 불가 주♡소 오류 즉시 주♡소 변경:[ xx.xxxxxxxx[.]top ] | 3.2% |
▶고객님 물품 배달 불가 주;소 오류 즉시 수령 주;소 변경:hxxps://shrtlnk[.]dev/xxxxxx | 3% |
[표 2] 택배 스미싱
위표의스미싱문자를살펴보면전체적인내용은비슷하지만몇개의단어를바꾸거나띄어쓰기,특수문자등을추가하여다른문장처럼보이도록했음을알수있습니다.
최근의택배스미싱들은과거보다내용의변화가활발하지는않은것으로판단됩니다.
다음은건강검진스미싱문자들을정리한것입니다.
건강검진 | 발견비율 |
[Web발신][건강보험공단] 검진통지서발송. 내용보기[xx.xxxx[.]top] | 29% |
[건강검사센터]검진진단서 내용발송. 상세보기[xx.xxxx[.]Life] | 24% |
[Web발신][국민건강보험]검진진단서 내용발송.상세보기[xx.xxxx[.]cLub] | 19% |
[Web발신][건강보험공단]건강검진 (보고서) 발송완료.내용보기:xx.xxxx[.]top | 8.9% |
[Web발신][건강보험공단]검진진단서 내용발송.상세보기:xx.xxxx[.]fit | 5% |
[표 3] 건강검진 스미싱
건강검진스미싱공격은1월대비소폭감소했으나오미크론의확산세가심상치않았던시기라꾸준히공격이이어지고있습니다.
다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.
보이스피싱 | 발견비율 |
[국외발신]okmall[해외배송] ***님 2월24일 975,000원 결제완료 물류센터:050-xxxx-xxxx | 8% |
[국제발신][요청하신 결제금액] KRW 959,000 정상처리 되었습니다 고객센터 문의 050-xxxx-xxxx | 7.9% |
[국제발신]고객님[해외구매] 1,198,000원 결제완료 03/14 11:35배송예정 본인아닐시 문의:02-xxx-xxxx | 7.8% |
[국외발신]OOO님 승인안내:795,000원 결제완료.(본인아닐시 소비자원 050-xxxx-xxxx으로 신고바랍니다.) | 7.8% |
[국제발신][해외구매] 승인번호:7**5 KRW 467,200원 결제완료 본인아닐시 즉시 소비자센터 신고 문의:02-xxxx-xxxx | 5.2% |
[표 4] 보이스피싱 유도 스미싱
기존의위너 토토과달리악성앱을유포하는url대신공격자의전화번호를포함하고있는특징이있습니다.이는문자를통해악성앱을유포하는대신전화통화를유도하여악성앱을유포하는방식입니다.
피해자는특정쇼핑몰등의고객센터로착각하여공격자가안내하는특정사이트에접속하게되며이사이트를통해악성앱을설치하게됩니다.
다음은수사기관을사칭하는위너 토토문자들을살펴보겠습니다.
수사기관사칭 | 발견비율 |
[Web발신][교통법규위반통지]차량위반운행 벌점보고서 hxxp://xxxxxx.xxxxx[.]guru | 13% |
[Web발신][교통민원24]교통법규위반행위 벌점 6점 처벌 고지서 발송완료 hxxp://xxx.xxxxx[.]kr | 13% |
[Web발신][위반통지]2022/2/6 주차위반 벌점처리통지서 hxxp://xxxx.xxxxx[.]guru | 8.6% |
[Web발신][교통민원24]법규위반과속운전자동차벌점보고서 hxxp://xxxx.xxxxx[.]kr | 4% |
[Web발신][교통관리센터]차량위반운행과태료고지서 hxxp://xxxx.xxxxx[.]fun | 4% |
[표 5] 수사기관사칭 스미싱
교통 법규를 위반했다는 내용의 위너 토토으로 운전을 하시는 분들은 쉽게 착각을 일으킬 수 있는 내용으로 구성되어 있다.
다음은공공기관을사칭하는위너 토토문자들을살펴보겠습니다.
공공기관사칭 | 발견비율 |
[Web발신]국민연금 지급 완료 본인 조회 hxxp://xxxxx.xxxxx[.]fun | 66% |
[표 6] 공공기관사칭 스미싱
연금을지급한다는내용의위너 토토으로누구나혹할수있는내용으로구성되어있다.
다른 악성 앱 공격도 그렇겠지만 위너 토토 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 위너 토토에 대한 경각심을 가져야 하겠습니다.
스미싱의예방방법은비교적간단합니다.문자내의URL링크를클릭하지않거나다운로드한악성앱을설치하지않으면됩니다.그리고알약M과같이신뢰할수있는백신앱을설치하여사용하는것도피해를예방하는데도움이됩니다.
[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지
알약M의악성앱탐지화면
[그림 4] 위너 토토 악성 앱 탐지 화면
