태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010.11.12 15:04


영국은행 Lloyds TSB 에서 발송한 것처럼 교묘하게 위장된 악성 이메일이 국내에 유입되었습니다.

이메일 형태는 다음과 같고, 첨부파일을 클릭할 경우 인터넷 뱅킹 로그인 계정과 신용카드 번호 등을 요구하는 일반적인 피싱 메일 형태입니다.

제목 :
Lloyds TSB - ClickSafe Activation Confirmation

내용 :
This is an outbound message only. Please do not reply.

Dear Customer,

Thank you for registering to Lloyds TSB ClickSafe services. This free service provides added safety when you shop online.

Activation Details:
Activation date: 10/11/10
Merchant at which activation took place: Watch Shop UK
Amount of purchase: 23.50 GBP
Login password: CroWldn1529
The service is now active for your Lloyds TSB card with referce no. 819430

If this registration hasn't been made by the certified owner of the account, please download the attached form and fill in all the details that are required to confirm your personal data. After confirming your personal data you will receive an email in order to reset your Lloyds TSB ClickSafe password.

From now on, when shopping at participating online merchants, your purchase is protected with the password you created during the service activation. Please save your password in a safe place; you will need it for future purchases.

To access your Lloyds TSB ClickSafe account, we invite you to visit the Lloyds TSB ClickSafe site. Upon your first visit you may create your own login name and update your account data. Additionally, at this site you will find more information regarding the service and participating merchants.

If you have any questions, please refer to our Frequently Asked Questions (FAQ),
or contact us.


Thank you,
Lloyds TSB

첨부파일 :
online.lloydstsb.co.uk-ClickSafe.pdf.html

본문에 Login password 라는 값을 제공해서 사용자에게 직접 로그인해 볼 수 있는 권한을 제공하는 것처럼 관심을 끄는 것이 특징이고, 본문에 포함된 링크는 실제 Lloyds 보안 웹 페이지를 연결해 두고 있습니다.

https://www.clicksafe.lloydstsb.com/lloyds/registration/welcome.jsp

사용자 삽입 이미지

첨부되어 있는 "online.lloydstsb.co.uk-ClickSafe.pdf.html" 파일을 사용자가 실행할 경우 다음과 같이 인터넷 뱅킹의 로그온 요구 절차 화면이 보여집니다.

로그온에 필요한 사용자 ID, 암호, 신용카드 정보, 보안 코드 등의 입력을 할 수 있는 화면이 보여지며, 사용자가 개인 정보를 입력하고 Continue 버튼을 누르게 되면 개인 정보가 외부로 유출될 위험성이 있습니다.

또한, Continue 버튼을 누르게 되면 사용자가 신뢰할 수 있도록 다음과 같이 실제 Lloyds TSB 웹 사이트 화면으로 변경해 줍니다.

사용자 삽입 이미지

실제로 첨부되어 있는 html 파일은 코드 내부가 다음과 같이 사용자가 알아보지 못하도록 난독화(암호화) 되어 있습니다.

사용자 삽입 이미지

인코딩되어 있는 코드를 디코딩하면 다음과 같이 국내 웹호스팅 서비스(http://www.80port.com)를 이용하는 특정 홈페이지로 정보를 유출 시도하는 것을 볼 수 있습니다. (일부 모자이크 처리)

사용자 삽입 이미지

피싱용 악성 html 첨부파일은 현재 영국 Anti-Virus 업체인 Sophos 에서만 진단하고 있는 것으로 보여지며, nProtect Anti-Virus 제품에는 2010년 11월 12일자에 추가할 예정입니다.




Posted by viruslab
보안관련소식2008.02.25 09:26


http://news.kbs.co.kr/article/economic/200802/20080224/1515188.html

사용자 삽입 이미지
<앵커 멘트>

국민은행의 인터넷 뱅킹 이용자들이 7천만원을 해킹당한 사실이 KBS 단독 취재결과 밝혀졌습니다.

엉뚱한 곳에 돈을 보낼 수 있게하는 바이러스에 국내 PC 2천여 대가 감염된 것으로 알려졌습니다.

민경욱 기자입니다.

<리포트>

자신의 통장에서 엉뚱한 사람의 계좌로 8백만 원이 송금된 사실을 알아차린 주부 이순화 씨.

곧바로 은행에 신고했지만 돌아온 건 면박성의 의심섞인 질문 뿐이었습니다.

<인터뷰>이순화 (인터넷 뱅킹 해킹 피해자): "아줌마가 보내놓고 기억 못하는 게 아니냐. 다시 한 번 생각해보라고 했거든요. 그런데 80원도 아니고 8백만 원을 이틀 사이에 기억 못할 리는 없잖아요."

역시 하루 아침에 천7백만 원이 통장에서 빠져나간 배두열 씨.

경찰에 신고했지만 이른바 대포통장으로 송금된 돈은 벌써 사라진 뒤였습니다.

<인터뷰> 배두열 (인터넷 뱅킹 해킹 피해자): "최종 찾는 거는 몇 십만 원씩 수십 군데에서 찾아버리니까, 그런데 경찰이 현실적으로 수십 군데를 다 찾기는 힘들잖아요."

지금까지 개인의 금융정보가 유출된 것으로 확인된 피해자는 12명, 이 가운데 4명의 인터넷 뱅킹 계좌에서 모두 7천만 원이 인출됐습니다.

경찰은 지난해 8월 쯤 인터넷 포털 사이트를 통해 바이러스를 퍼뜨린 해커가 보안카드의 정보를 모아 조직적인 예금 인출을 시도하고 있는 것으로 보고 있습니다.

중국에 있는 IP 주소의 해킹 용의자들은 멀드롭 형태의 바이러스에 감염된 국내 PC의 정보를 외국에 있는 서버로 자동 전송시키는 방법으로 예금 인출에 필요한 정보를 얻어왔던 것으로 전해졌습니다.

<인터뷰> 박성찬(인터넷 뱅킹 해킹 피해자): "랜 카드에서 뭐가 계속 나가더라고요, 데이터가. 그것은 해킹에 의한 바이러스의 일종인 것 같기도 하고, 계속 거기서 데이터가 날아가는 거예요."

금융계와 보안업계는 키보드 해킹 방지프로그램을 업그레이드 시키는 등 자체적인 조처를 취하고 있지만 해킹 사실 자체에 대해서는 입을 다물고 있습니다.

<인터뷰> 김용원(국민은행 IT 기획부장): "순수하게 고객 PC를 완벽하게 해킹 해 가지고 그걸 가지고 인터넷 뱅킹에 성공한 케이스는 현재까진 없어요."

금융감독원도 오는 4월부터 각 은행에 대해 보안 등급을 강화하라는 공문을 내려보냈지만 보안카드를 대신해 사용을 의무화 한 OTP도 해킹에 취약성을 보이는 등 하루 18조원이 거래되는 인터넷 뱅킹의 보안이 시험대에 올랐습니다.

KBS 뉴스 민경욱입니다.

Posted by viruslab