관리 메뉴

☆ Infomation Seurity ☆ CERT ☆

혹스(Hoax)메일 주의 안내 본문

|배움의 길|/정보보안

혹스(Hoax)메일 주의 안내

정보보호 IZIGom 2018.11.12 16:43

직접 받아본 Hoax Mail을 기반으로 글을 작성합니다.

 

#1. Hoax Mail이란?

악성코드 감염으로 개인정보 비밀번호, 연락처, 사진, 동영상등의 정보를 탈취해서 가지고있으니 비트코인을 보내라는 협박성 스팸메일입니다.

 

#2. 제가 받은 메일의 제목들은 아래와 같습니다.

1) Account Issue 

2) account *ing*a*a*a@naver.com is compromised

3) *ing*a*a*a@naver.com is compromised. Password must be changed 

4) あなたのパスワードが侵害されました (*ing*a*a*a@naver.com

5) You password must be need changed

 

우선 보내온 메일의 특징은 메일발송자가 본인의 계정으로 계정 탈취후 메일주소로 보내진것 처럼 보이게 하지만 실제 본인계정에서 보낸메일은 아닙니다.

 

#3. 해커의 비트코인 지갑주소 정보

1) 1PEJXJVQUC7sAynFcYHTsjEWE1F1rXc3ci

2) 1DVU5Q2HQ4srFNSSaWBrVNMtL4pvBkfP5w

3) 17XHRucfd4kx3W5ty7ySLGiKHqmPUUdpus

4) 1JDi4GbHUzCrrnT7BCYbnsyLyrFpNK7faP

5) 19qL8vdRtk5xJcGNVk3WruuSyitVfSAy7f

 

#4. 보내온 메일의 샘플을 보여드립니다.

Mail Sample 1.

Hello!
I'm a member of an international hacker group.

As you could probably have guessed, your account *ing*a*a*a@naver.com was hacked, because I sent message you from it.

Now I have access to you accounts!
For example, your password for *ing*a*a*a@naver.com is *u*g*e*0

Within a period from July 7, 2018 to September 23, 2018, you were infected by the virus we've created, through an adult website you've visited.
So far, we have access to your messages, social media accounts, and messengers.
Moreover, we've gotten full damps of these data.

We are aware of your little and big secrets...yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched!
I think you are not interested show this video to your friends, relatives, and your intimate one...

Transfer $700 to our Bitcoin wallet: 1PEJXJVQUC7sAynFcYHTsjEWE1F1rXc3ci
If you don't know about Bitcoin please input in Google "buy BTC". It's really easy.

I guarantee that after that, we'll erase all your "data" :D

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred.
If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security. We hope this case will teach you to keep secrets.
Take care of yourself.

 

Mail Sample 2.

こんにちは!

私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。

もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。

私に連絡したり、私を見つけようとしないでください。それは不可能です。 私はあなたのアカウントからメールをあなたに送ったので、

あなたの電子メールを介して、私はあなたのオペレーションシステムに悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。

あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。

私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!

だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。

これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。

したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$809が良い価格だと思います!

Bitcoin経由で支払う。
私のBTCウォレット: 1JDi4GbHUzCrrnT7BCYbnsyLyrFpNK7faP

あなたがこれを行う方法を知らない場合 - Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。私のウイルスはあなた自身のオペレーティングシステムからも削除されます。

私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後でメッセージを受け取ります。

私はあなたに支払いのための2日間を与える(正確に48時間)。
これが起こらない場合 - すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)

ばかなことしないで!
警察や友人はあなたを確実に助けません...

p.s. 私はあなたに将来のアドバイスを与えることができます。 安全でないサイトにはパスワードを入力しないでください。

私はあなたの慎重さを願っています。
お別れ。

 

#5. 최종 확인

 제일 첫번째 왔던 메일을 보니 계정정보 및 비밀번호가 적혀있었습니다. 순간 조금 당황 -,.-;

저는 이상한(야동) 사이트등을 방문한적도 없고 집PC에는 카메라도 없습니다.

그리고 알려준 비밀번호는 현재(?)는 물론이고 몇년전까지도 쓰지 않던 과거 비밀번호 였습니다.

저는 각 포털사이트는 각각 별도의 비밀번호를 설정 후 사용하고, 작은 홈페이지 및 임시 가입홈페이지는 default 비밀번호를 사용합니다.

보내온 비밀번호는 기본적으로 사용하는 default비밀번호중 하나였습니다.

 이후 확인 사항으로는 네이버 보안설정입니다. 기존에 이미 새로운 기기 로그인 알림, 해외 로그인 차단은 설정을

해놓은 상태라 추가적으로 내 활동 기록 보기로 로그인 기록을 검색해봤으며(이상없음 확인) 비밀번호 2단계인증, 로그인 전용 아이디 생성 작업을 했습니다. 조금 귀찮을수 있지만 보안을 위해서 설정을 진행~~

 이후 백신프로그램을 이용 집/사무실PC에 대한 정밀점검 실시, Windows Update진행, process explorer를 이용한 프로세스 모니터링!! 이상없음!!

 Hoax 메일이였지만 제가 사용했던 비밀번호가 있기에 나름 최종 점검을 마치고 추측컨데, 해당 계정 및 비밀번호의 유출 경로는 Torrent사이트가 아니였을까 짐작합니다. 보통 로그인이 필요없는 Torrent를 사용하지만, 어쩔수없이 가입하는 경우가 있는데 id를 이메일주소로 가입받는 곳이 있었습니다. 당연 그곳에 비밀번호는 default비밀번호를 사용하였구요.. 해당 정보의 유출은 그곳에 등록한 id(email)/passwd를 기준으로 작성된 것이 아닐까 추측합니다.

 저와 비슷한 메일을 받으신 분이 있으시다면 상기 내용처럼 기본(추가) 보안설정 및 PC 점검을 해보시고, 꼭 메일에 탈취한 정보(파일,사진,동영상,연락처)가 없다면 Hoax메일이라고 생각하시고 크게 신경쓰지 않으셔도 될듯 합니다.

 기업의 보안담당자 분들께서는 메일 제목 및 비트코인 지갑주소를 기반으로 보안차단정책을 설정하셔도

괜찮을것 같습니다.

- 그럼 오늘 하루도 행복하세요 - ^_^

1 Comments
  • 프로필사진 Rainpencil 2018.11.14 22:22 신고 19qL8vdRtk5xJcGNVk3WruuSyitVfSAy7f의 지갑 주소를 사용하는 사람에게 비슷한 메일을 받았습니다.
    평소같으면 그냥 스팸처리했을텐데, 도메인 메일 주소로 보내져서 조금 의심이 가더라고요.
    문제를 진단하는데 이 글이 도움이 되었습니다. 감사합니다.
댓글쓰기 폼