ESRC 4월 배트맨 토토 트렌드 보고서
3월부터스미싱공격이한풀꺾이는양상을보이고있습니다.4월은3월과비슷한수준의공격이이루어졌으며전체공격의감소세에따라스미싱키워드별비율도소폭변동이있었습니다.
4월배트맨 토토트렌드를살펴보겠습니다
ESRC에서수집한4월의배트맨 토토공격을데이터와통계를통해살펴보도록하겠습니다.
4월한달간수집된스미싱을키워드로분류하면다음표와같습니다.
키워드 | SMS 내용 |
택배 | 택배도착등의문구로구성 |
건강검진 | 건강검진결과등의문구로구성 |
금융 | 대출과연관된문구로구성 |
암호화폐 | 암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성 |
[표1]수집스미싱문자들의키워드기반분류
다음그림은스미싱키워드별발견비율을보여주고있습니다.
그림을살펴보면지난3월과마찬가지로스미싱공격의대부분은택배스미싱에집중되어있습니다.택배스미싱이전체스미싱공격의95.81%를차지하고있습니다.
이어서건강검진관련스미싱문자가3.61%를차지하고있으며나머지스미싱문자의발견비율은0.45%정도입니다.
다음그림은발견된배트맨 토토문자의화면입니다.
각키워드별주요스미싱문자들을살펴보도록하겠습니다.발견비율은스미싱키워드별로분류된문자내에서의비율입니다.
가장많이발견되고있는택배스미싱문자부터살펴보도록하겠습니다.다음표는발견비율이높은상위10개의택배스미싱문자들을정리한것입니다.
택배 | 발견비율 |
(택배CJ)알림배송했습니다빠른시간에확인부탁합니다hxxps://tinyurl[.]com/xxxxxx | 30% |
CJ대한통운택배 반송처리중이오니 주소지 확인바람니다. hxxps://tinyurl[.]com/xxxxxx | 10% |
(택배CJ)알림 택배조회. hxxps://tinyurl[.]com/xxxxxx | 10% |
택배 배송했습니다 CJ택배조회. hxxps://tinyurl[.]com/xxxxxx | 8% |
(우체국)주에 물품 배송했습니다. hxxps://tinyurl[.]com/xxxxxx | 4% |
CJ택배 배송했습니다 본인확인 부탁드립니다. hxxps://tinyurl[.]com/xxxxxx | 4% |
배달 도착햇습니다 확인해주세요 hxxps://tinyurl[.]com/xxxxxx | 3% |
(cj택배) 배송했습니다 hxxps://tinyurl[.]com/xxxxxx | 2.9% |
우체국택배 확인부탁합니다. hxxps://tinyurl[.]com/xxxxxx | 2.7% |
한의사랑 물품배송 발송하였습니다. hxxps://tinyurl[.]com/xxxxxx | 1.9% |
[표2]택배스미싱
표를살펴보면공격자들은문장을새로만들어배포하거나일부단어의교체나생략을통해다양한문장을만들어배포하고있음을알수있습니다.
다음은건강검진스미싱문자를살펴보겠습니다.
건강검진 | 발견비율 |
한국의료재단IFC종합검진센터통지내용보기:xx.xxxx[.]club | 85% |
한국의료재단IFC종합검진센터검진통지내용:xx.xxxx[.]group | 12% |
[Web발신]한국의료재단IFC종합검진센터통지서확인:xx.xxxx[.]xyz | 0.8% |
[Web발신]국민건강.검진통지서내용확인해주세요~url[.]kr/xxxxxx | 0.5% |
[Web발신]한국의료재단IFC종합검진센터검진내용확인:xx.xxxx[.]team | 0.5% |
[표3]건강검진스미싱
건강검진관련스미싱공격이3월에비해소폭증가했습니다.문구내의일부단어를바꿔유포하고있으나내용은대동소이합니다.
건강검진관련스미싱은매년국가에서무료로시행하는건강검진과관련된것으로위장하여피해자를속이고악성앱설치를유도합니다.
다음은금융기관을사칭하는스미싱문자들을살펴보겠습니다.
금융 | 발견비율 |
모바일신청서다운및설치방법hxxp://xxx.xxx.xxx[.]153/nhcaph661.링크접속-상단모바일신청2.화면상단부분을눌러서끌어내린후HANA.APK다운로드완료확인-터치3.터치후안내문구-설정-그후구형버전은하단의출처를알수없는앱항목을터치한후허용해주시면설치화면으로넘어가니설치진행해주시고신형버전은설정누르시면이설치허용이라고나옵니다오른쪽에초록불이들어올수있도록터치해주신후뒤로돌아가서설치해주시면됩니다4.어플설치후-열기-배터리활용동의동의-온라인신청-작성후조회해주시면됩니다5.혹시나출처허용을하였지만어플설치가안되는경우바탕화면play스토어-왼쪽상단의가로줄3개메뉴-play프로텍트-오른쪽상단설정(톱니바퀴모양)-2개의메뉴중상단의초록불이들어와있다면둘다꺼주시고처음부터다시설치진행해주세요 | 6% |
[OOOO은행]모바일신청안내OO(8*****-1******)발급번호2021-0415-875대출신청URL:hxxp://xxx.xxx.xxx[.]132/nhbak9a/(캠코발급담당자OOO)모바일신청후접수담당자에게확인부탁드립니다.[보증서발급승인이아닌단순신청접수임을고지함]=================================================================<신청안내절차먼저,핸드폰의와이파이는끄고,데이터를켭니다(최종승인까지개인정보보안을위해데이터로만유지)대출신청URL터치.OOOO은행접속.하단\"다운로드\"터치-파일이다운로드되었습니다-열기(만약,이부분이안보이시면휴대폰상단을드래그해서내리면다운로드완료된부분터치하시면됩니다)만약,보안상설치불가로나오면설정-허용-뒤로가기버튼-설치/계속-다음/계속-설치가완료되었습니 | 6% |
OOOhxxp://xxx.xxx.xxx[.]40:60 | 6% |
OO은행홈페이지:hxxp://xxx.xxx.xxx[.]229/kb/ | 6% |
OO은행모바일페이지hxxp://xxx.xxx.xxx[.]215/ | 6% |
[표4]금융기관사칭스미싱
금융기관을사칭하는스미싱들중피해자의이름과IP만으로구성된스미싱문자가있습니다.언뜻보면스미싱임을알수없으나IP를클릭후설치된앱을실행해보면대출관련내용으로꾸며진가짜금융기관앱이실행됩니다.
금융기관사칭스미싱문자를받은피해자가때마침대출을고려하고있다면피해를입을가능성이클것입니다.
다음은암호화폐거래소사칭스미싱문자를살펴보도록하겠습니다.
암호화폐 | 발견비율 |
[Web발신][OOO][OOO로그인알림]고객님계정이해외IP-xxx.xxx.xxx.162에서로그인되였습니다.본인이아닐경우에는해외IP차단해주세요.최근개인정보유출로인한해킹사례가많으니OOO은해킹방지를위해해외IP차단서비스를신청하시기바랍니다.OOO은안전하고건강한시장조성을위해다방면으로노력하고있습니다.www.xxxxxxxx[.]net | 60% |
[Web발신](광고)[OOO로그인알림]고객님계정이수상한기기-xxx.xxx.xxx.188에서로그인되었습니다.본인이아닐경우에는로그인차단해주세요.OOO은안전하고건강한시장조성을위해다방면으로노력하고있습니다.www.xxxxxxxx.net무료수신거부080xxxxxxxx | 40% |
[표5]암호화폐거래소사칭스미싱
올해 들어 크게 이슈가 되고 있는 암호화폐를 활용한 공격입니다. 스미싱 문자의 목적은 특정 암호화폐 거래소의 계정 탈취입니다. 이런 스미싱 공격에 당해 계정을 탈취 당하면 본인계정의암호화폐를탈취당할수있어각별한주의가필요합니다.
다른악성앱공격도그렇겠지만배트맨 토토공격또한사전예방이가장중요합니다.스마트폰을사용하시는분들은스스로보안의식을고취시킬필요가있으며배트맨 토토에대한경각심을가져야하겠습니다.
배트맨 토토의예방방법은비교적간단합니다.
문자내의URL링크를클릭하지않거나다운로드한악성앱을설치하지않으면됩니다.그리고알약M과같이신뢰할수있는백신앱을설치하여사용하는것도피해를예방하는데도움이됩니다.
알약M의악성앱탐지화면
