ESRC 8월 합법 토토 트렌드 보고서
8월은 택배 키워드를 사용하는 스미싱 공격 대신 건강검진 키워드를 사용하는 스미싱 공격이 대폭 증가했습니다. 이는 공격자들이 코로나가 급격하게 확산되고 있는 상황을 이용하는 결과라 추측됩니다.
8월의주요스미싱공격은건강검진을키워드로하는스미싱이주도하고있습니다.건강검진을키워드로하는스미싱공격이50.07%를차지하고있으며7월대비20.17%증가했습니다.
뒤를이어택배를키워드로하는스미싱공격은33.52%로7월대비33.33%감소했습니다.그리고보이스피싱을유도하는내용의스미싱공격이8.13%를차지하고있으며7월대비5.12%증가했습니다.
마지막으로 수사기관을 사칭하는 합법 토토 공격이 3.23%를 차지하고 있습니다. 7월에는 수사기관 사칭 합법 토토이 발견되지 않았으나 8월 들어 발견되고 있으며 이는 본격적인 휴가철을 맞아 이동이 잦아지는 상황을 공격자들이 적극적으로 이용하는 것이라 판단됩니다.
8월의합법 토토트렌드를살펴보도록하겠습니다.
ESRC에서수집한8월의합법 토토공격을데이터와통계를통해살펴보도록하겠습니다.
8월한달간수집된스미싱을키워드로분류하면다음표와같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착, 주소지 오류 등의 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
보이스피싱 | 피해자 전화를 유도하는 문구로 구성 |
수사기관사칭 | 수사 기관을 사칭하여 관심을 유도하는 문구로 구성 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음그림은스미싱키워드별발견비율을보여주고있습니다.
[그림 1] 스미싱 키워드 별 비율
그림을살펴보면대부분의스미싱공격이건강검진과택배키워드를활용하고있음을알수있습니다.
공격 비율은 건강검진 스미싱이 50.07%를 차지하고 있으며 택배 스미싱 문자가 33.52%, 보이스피싱을 유도하는 스미싱 공격이 8.13%, 마지막으로 수사기관 사칭 스미싱 공격이 3.23%를 차지하고 있습니다.
올해 처음으로 건강검진 키워드를 활용하는 스미싱 공격이 택배 스미싱 보다 높은 공격 비율을 보였습니다. 이는 올해 3월에 이어 8월에 재확산 되었던 코로나 상황을 공격자들이 이용하고 있는 것으로 풀이됩니다.
다음그림은발견된합법 토토문자들의화면입니다.
[그림 2] 합법 토토 문자
이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 건강검진 스미싱 문자부터 살펴보도록 하겠습니다.
다음은건강검진스미싱문자들을정리한것입니다.
이어서 각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다. 가장 많이 발견되고 있는 건강검진 스미싱 문자부터 살펴보도록 하겠습니다.
다음은건강검진스미싱문자들을정리한것입니다.
건강검진 | 발견비율 |
[Web발신] [건강보험공단] 종합건강검진 보고서 발송완료. 내용확인[xxxx.xxxx[.]xyz] | 28% |
[Web발신] [국민건강보험] 건겅검진 검진표 및 검진대상자 확인하기[xxxx.xxxx[.]club] | 27% |
[Web발신][국민건강검진]종합건강검진 통보서 발송완료.내용확인[xxxx.xxxx[.]site] | 22% |
[SMS]*종합건강검진센터1차무료건강검진 대상자입니다.내용확인바랍니다[xx.xxxx[.]site] | 14% |
[Web발신][국민건강검진]종합건강검진 안내서 발송.내용확인[xxxxx.xxxx[.]fit] | 2% |
[Web발신][국민의료공단]개인종합검진 보고서 발송완료.내용확인[xxxx.xxxx[.]cooL] | 2% |
[Web발신] [국민보험공단] 종합건강검사 통보서 발송완료. 내용확인[xx.xxxx[.]gold] | 1.4% |
[국민건강보험] 개인종합검사 보고서 발송완료. 내용확인[xx.xxxx[.]press] | 1.1% |
[Web발신][한국의료재단]종합전면검사 통보서 발송완료.내용확인[xxx.xxxx[.]show] | 0.8% |
[Web발신][국민건강보험]종합전면검사 통보서 발송완료.내용확인[xxxx.xxxx[.]show] | 0.8% |
[표 2] 건강검진 스미싱
건강검진 스미싱 공격은 7월 대비 20.17% 증가했습니다. 위 표를 살펴보면 건강검진 스미싱의 내용은 통보서나 보고서 등을 발송했다는 것이 주류를 이루고 있음을 알 수 있습니다.
피해자가 건강검진 스미싱 문자를 받게 된다면 건강검진과 관련된 문서를 받은 것으로 오인하여 링크를 클릭하게 되고 건강검진 관련 문서가 아닌 악성 앱을 다운로드하게 됩니다.
다운로드한 악성 앱은 피해자의 개인정보 탈취를 목적으로 제작되어 있으며 신분증, 금융 정보등의 민감한 개인정보 탈취를 시도합니다.
다음은택배스미싱문자들을정리한것입니다.
택배 | 발견비율 |
송장번호(59021********690) 주 소불일치로 물품보관중입니다: hxxps://han[.]gl/xxxxx | 26% |
대한통운, 고객 배송 실패 주소 오류 반송 처리 즉시 처리: hxxps://bit[.]ly/xxxxxxx | 10% |
[대한통운] 송장번호(5901******90)주소불일치로 물품보관중입니다 아래문의 hxxps://han[.]gl/xxxxx | 5.8% |
대한택배, 고객 물품 반송 처리 불가능 주소 오류:hxxps://bit[.]ly/xxxxxxx | 4.6% |
(대한통운) 고객님 물품 배송 실패 주 소가 정확하지 않으니 즉시 위치 수정 부탁드립니다: bit[.]ly/xxxxxxx | 3.3% |
대한통운, 고객 택배 주문 번호 [650423*****601] 주소 오류 즉시 위치 확인 수정: bit[.]ly/xxxxxxx | 2.9% |
대한, 고객이 당신의 물품을 반송할 수 없으니 즉시 처리해 주십시오: hxxps://bit[.]ly/xxxxxxx | 2.9% |
대한택배, 고객 배송 불가 물품 반품 보관 즉시 처리:hxxps://bit[.]ly/xxxxxxx | 2.5% |
대한통운, 고객 주문 이상 반송 처리 즉시 위치 수정: hxxps://han[.]gl/xxxxx | 2.5% |
대한운통, 고 객 상품 배송 실패 반송 처리 주.문 즉시 수정: hxxps://bit[.]ly/xxxxxxx | 2.5% |
[표 3] 택배 스미싱
8월 택배 스미싱의 주요 내용은 주소 등이 잘못되어 배송이 안된다는 내용으로 7월의 단순 배송 내용에서 변화가 있었습니다. 이런내용들은택배를이용하는피해자들이스미싱문자의내용을실제택배의문자로오인하여링크를클릭하도록유도하기위한것으로판단됩니다.택배관련문자를받으신다면주의를기울여살펴보셔야하겠습니다.
다음은 보이스피싱을 유도하는 스미싱 문자들을 살펴보겠습니다.
보이스피싱 | 발견비율 |
[국제발신] [승인완료] 물품 결제금액 -KRW 2,592,400원 정상처리 되었습니다 본인결제아닐시 050-xxxx-xxxx | 10% |
[국제발신] OOO님 [해외직구]한화924.900원 결제완료.본인 아닐 시 소비지원(050 xxxx xxxx)으로 신고. | 6.9% |
[국제발신] 해외직구 승인번호(89**) 2,064,000원 결제완료 [EN JAPAN]쇼핑 문의:070-xxxx-xxxx | 5.2% |
[국제발신] (해외배송)08/12 결제금액:2,064,000원 문의전화:070-xxxx-xxxx [엔 재패]쇼핑 | 5.2% |
[국외발신] (주)메이시스 1,220,000원 승인번호(97685) 정상처리완료 고객센터:02-xxxx-xxxx | 5.2% |
[표 4] 보이스피싱 유도 스미싱
보이스피싱 유도 스미싱은 악성 앱을 유포하는 url 대신 공격자의 전화번호를 포함하고 있는 특징이 있습니다. 이는 문자를 통해 악성 앱을 유포하는 대신 전화 통화를 유도하는 방식으로 피해자가 공격자에게 전화를 하게 되면 공격자가 피해자에게 악성 앱 설치를 안내하여 악성 앱을 유포하는 방식입니다.
피해자는특정쇼핑몰등의고객센터로오인하여공격자가안내하는특정사이트에접속하게되며이사이트를통해악성앱을설치하게됩니다.
다음은수사기관을사칭하는합법 토토문자들을살펴보겠습니다.
수사기관사칭 | 발견비율 |
[Web발신] [교통민원24(이파인)]차량 법규 위반 벌점 처분 통지서 발송 완료 hxxps://bit[.]ly/xxxxxxx | 43% |
[Web발신] [교통민원24(이파인)]자동차가신호등을무시하고달리다.벌칙증서 hxxp://xxxxx.xxxxx[.]boston | 35% |
[Web발신] [교통민원24(이파인)]도로위반감점고지서 발송 완료 hxxp://xxxxxx.xxxxxx[.]com | 8.7% |
[Web발신] [교통민원24(이파인)]교통범칙금 보고서. 발송 완료 hxxp://xxx.xxxxxx[.]com | 4.3% |
[Web발신] [교통민원24(이파인)]자동차 불법운전 처벌 통지서 발송 완료 hxxp://xxx.xxxxxx[.]mobi | 4.3% |
[표 5] 수사기관사칭 스미싱
수사기관 사칭 합법 토토은 경찰, 검찰 등의 수사기관을 사칭합니다. 8월에 발견된 수사기관 사칭 합법 토토들은 경찰을 사칭하여 교통 법규를 위반했다는 내용으로 구성되어 있습니다.
공격자들은 차량을 이용한 이동이 잦은 휴가철을 노려 수사기관 사칭 합법 토토을 유포한 것으로 판단됩니다. 즉, 공격자들은 이런 합법 토토 문자를 받은 사람이 운전을 하는 사람이라면 쉽게 속일 수 있을 것이라 판단한 것으로 유추할 수 있습니다.
다른악성앱공격도그렇겠지만합법 토토공격또한사전예방이가장중요합니다.스마트폰을사용하시는분들은스스로보안의식을고취시킬필요가있으며합법 토토에대한경각심을가져야하겠습니다.
스미싱의예방방법은비교적간단합니다.문자내의URL링크를클릭하지않거나다운로드한악성앱을설치하지않으면됩니다.그리고알약M과같이신뢰할수있는백신앱을설치하여사용하는것도피해를예방하는데도움이됩니다.
[그림 3] 구글 플레이 스토어 - 알약M 설치 페이지
알약M의악성앱탐지화면
[그림 4] 합법 토토 악성 앱 탐지 화면
