태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.11.12 15:04


영국은행 Lloyds TSB 에서 발송한 것처럼 교묘하게 위장된 악성 이메일이 국내에 유입되었습니다.

이메일 형태는 다음과 같고, 첨부파일을 클릭할 경우 인터넷 뱅킹 로그인 계정과 신용카드 번호 등을 요구하는 일반적인 피싱 메일 형태입니다.

제목 :
Lloyds TSB - ClickSafe Activation Confirmation

내용 :
This is an outbound message only. Please do not reply.

Dear Customer,

Thank you for registering to Lloyds TSB ClickSafe services. This free service provides added safety when you shop online.

Activation Details:
Activation date: 10/11/10
Merchant at which activation took place: Watch Shop UK
Amount of purchase: 23.50 GBP
Login password: CroWldn1529
The service is now active for your Lloyds TSB card with referce no. 819430

If this registration hasn't been made by the certified owner of the account, please download the attached form and fill in all the details that are required to confirm your personal data. After confirming your personal data you will receive an email in order to reset your Lloyds TSB ClickSafe password.

From now on, when shopping at participating online merchants, your purchase is protected with the password you created during the service activation. Please save your password in a safe place; you will need it for future purchases.

To access your Lloyds TSB ClickSafe account, we invite you to visit the Lloyds TSB ClickSafe site. Upon your first visit you may create your own login name and update your account data. Additionally, at this site you will find more information regarding the service and participating merchants.

If you have any questions, please refer to our Frequently Asked Questions (FAQ),
or contact us.


Thank you,
Lloyds TSB

첨부파일 :
online.lloydstsb.co.uk-ClickSafe.pdf.html

본문에 Login password 라는 값을 제공해서 사용자에게 직접 로그인해 볼 수 있는 권한을 제공하는 것처럼 관심을 끄는 것이 특징이고, 본문에 포함된 링크는 실제 Lloyds 보안 웹 페이지를 연결해 두고 있습니다.

https://www.clicksafe.lloydstsb.com/lloyds/registration/welcome.jsp

사용자 삽입 이미지

첨부되어 있는 "online.lloydstsb.co.uk-ClickSafe.pdf.html" 파일을 사용자가 실행할 경우 다음과 같이 인터넷 뱅킹의 로그온 요구 절차 화면이 보여집니다.

로그온에 필요한 사용자 ID, 암호, 신용카드 정보, 보안 코드 등의 입력을 할 수 있는 화면이 보여지며, 사용자가 개인 정보를 입력하고 Continue 버튼을 누르게 되면 개인 정보가 외부로 유출될 위험성이 있습니다.

또한, Continue 버튼을 누르게 되면 사용자가 신뢰할 수 있도록 다음과 같이 실제 Lloyds TSB 웹 사이트 화면으로 변경해 줍니다.

사용자 삽입 이미지

실제로 첨부되어 있는 html 파일은 코드 내부가 다음과 같이 사용자가 알아보지 못하도록 난독화(암호화) 되어 있습니다.

사용자 삽입 이미지

인코딩되어 있는 코드를 디코딩하면 다음과 같이 국내 웹호스팅 서비스(http://www.80port.com)를 이용하는 특정 홈페이지로 정보를 유출 시도하는 것을 볼 수 있습니다. (일부 모자이크 처리)

사용자 삽입 이미지

피싱용 악성 html 첨부파일은 현재 영국 Anti-Virus 업체인 Sophos 에서만 진단하고 있는 것으로 보여지며, nProtect Anti-Virus 제품에는 2010년 11월 12일자에 추가할 예정입니다.




Posted by viruslab
보안관련소식2009.07.14 18:04


http://www.ytn.co.kr/_ln/0102_200907141709138461

청와대와 국방부를 비롯해 우리나라와 미국 주요 기관 웹사이트에 대한 사이버공격 진원지가 영국에 있는 IP라는 주장이 해외에서 제기됐습니다.

방송통신위원회는 영국에 있는 IP에서 사이버공격을 일으킨 악성코드가 유포됐다는 정보를 베트남 인터넷 침해사고 대응센터가 우리 측에 전달했다고 밝혔습니다.

방송통신위는 사이버공격이 시작된 후 아태지역 국가에 악성코드 샘플을 보냈고 베트남에서 악성코드를 분석해 이 같은 결과를 내놓았다고 설명했습니다.

방통위는 베트남에서 전달한 정보가 사실인지를 확인하기 위해서는 검증 과정을 거쳐야 한다며 관련 정보를 수사 당국에 전달했다고 밝혔습니다.



Posted by viruslab