중앙행정기관 와이즈 토토 노리는 피싱 메일 주의!!

중앙 행정기관 와이즈 토토 탈취를 위해 접근하는 피싱 공격이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 메일은 "[System Administrator]-Notice!" 라는 제목으로 수신되었으며 메일 계정이 중지되었으니 이를 취소하려면, 본문에 기재된 링크를 클릭하라는 허위 내용으로 수신자의 클릭을 유도하고 와이즈 토토 탈취하기 위한 목적으로 발송되었습니다.

[그림 1] 특정 행정기관의 와이즈 토토 탈취를 위한 피싱 공격 이메일

메일을 수신한 사용자가 와이즈 토토 중지를 해제하기 위해 메일 본문에 기재된 링크를 클릭할 경우, 와이즈 토토과 패스워드를 가로채기 위한와이즈 토토 페이지로 이동합니다. 클릭 시 바로 와이즈 토토 페이지로 이동하지 않으며, 1차 리다이렉트 페이지로 이동하여 정상적으로 메일 서버에 접속하는 것처럼 보여주는 것이 특징입니다.

[그림 2] 1차 리다이렉트 사이트 화면

최종적으로 이동된 피싱 사이트는 해당 행정기관의 계정만을 탈취하기 위해 만들어진 사이트로 사용자가 계정명과 패스워드를 입력할 경우, 입력한 계정정보 내용 모두가 개인정보 수집 사이트로 전송됩니다.

[그림 3] 와이즈 토토 사이트 화면

전송된 개인정보 항목과 도메인 정보를 살펴보면 다음과 같습니다.

[그림 4] 수집된 개인정보 내용

개인정보 항목이 모두 전달되면 5초 후, 국내 정상 사이트로 자동 이동되기 때문에 사용자는 정상적인 사이트에 접속했다고착각할 수 있습니다.

[그림 5] 개인정보 전달 후 이동되는 정상 사이트

현재 이스트시큐리티'쓰렛 인사이트(ThreatInside)'에서는 해당 와이즈 토토 사이트를 아래와 같이 탐지하고 있습니다.

[그림 6] 토토 커뮤니티-ThreatInside 피싱사이트 탐지 화면