오늘 분석된 피싱 메일은 한전 전기요금 청구서를 가장해 특정 지역의 가스·발전·집단에너지 사업자를 노리는 수법으로 확인된다. 발신 표시명은 빌코리아로 되어 있으나 실제 발신 주소는 [email protected] 계열이며, 발신 도메인도 lknight.info로 업무상 청구서 발송 도메인이 아니다. 수신자는 특정 기업 계정으로 설정되었고 SPF는 통과되었으나 이는 도메인 소유자가 해당 IP 발송을 허용했다는 뜻일 뿐 메일의 정상성이나 합법성을 보장하지 않는다. DKIM은 존재하나 lknight.info 도메인 기준 서명으로 보이며, 제목은 한전 전기요금 청구서를 가장한 사칭으로 명시되어 있어 수신자에게 공식 문서인 양 각인되도록 설계되었다.
메일에 포함된 링크를 클릭하면 외부 피싱 사이트로 연결되며, hxxps:// storage.googleapis.com/b-ill04/april-ngx/bill04.html#/.s(u)dj.3RZJ2SF.aHR... 와 같은 경로를 통해 비밀번호 입력을 유도한다. 입력된 정보는 Telegram Bot API를 이용해 수집되며, 아이디와 비밀번호가 텔레그램으로 전송된다. 수집된 정보는 storage.googleapis.com 쪽에서 로드되어 api.telegram.org로 POST되며 특정 채팅방으로 전달된다. 전송되는 내용에는 피싱 사이트 메인 화면에서 확인되는 문자열과 함께 Telegram Bot ID, Token, Chat ID가 포함되어 있어 자동화된 수집 체계가 구현되어 있음을 보여준다.
피싱 과정의 구조상 피싱 사이트가 일반적인 사이트로 보일 수 있도록 설계되었고, Telegram으로의 정보 전송이 이루어지는 점이 특징이다. 전송 경로를 따라가면 최종적으로 삼천리 가스 쪽의 정상 사이트로 연결하는 방식으로 교란 효과를 높이고, 특정 지역의 사업자들을 대상으로 지속적으로 피싱 메일을 발송하는 조직이 존재하는 것으로 추정된다. 전체적으로는 다단계 피싱 체계로, 초기 메일의 위장성, 중간의 외부 링크를 통한 자격 증명 탈취, 이후 Telegram로의 실시간 유출, 그리고 최종 사이트 연결의 순서로 구성되어 있다.
원문 링크 : 한전 전기 요금 청구서로 위장한 피싱 메일 분석
