DHL 익스프레스 상거래 상태 업데이트 이메일 사기

사이버 보안 연구원들은 DHL Express Commerce의 상태 업데이트 이메일을 분석한 결과, 해당 이메일이 사용자 로그인 정보를 탈취하기 위해 설계된 피싱 메시지임을 확인했습니다. 이 이메일은 DHL Express Commerce에서 보낸 정식 알림처럼 위장하여 수신자에게 세 가지 문서가 공유되었다는 거짓 정보를 제공합니다.

이러한 메시지는 일반적으로 'DHL Express Commerce'라는 제목으로 발송되며, 문서 공유 플랫폼에서 온 알림처럼 보이도록 정교하게 제작되었습니다. 신뢰도를 높이기 위해 이메일에는 'DHL Express Invoice Payment.docx'라는 첨부 파일이 있는 것처럼 보이는 문구가 포함되어 있습니다. 하지만 이는 실제 파일이 아니라 수신자가 이메일과 상호 작용하도록 유도하기 위해 만들어진 클릭 가능한 요소입니다.

메시지 내용에 따르면, 시스템은 수신자와 공유된 세 개의 문서를 감지했으며, 해당 문서들은 즉시 접근 가능하다고 합니다.

가짜 문서 포털 함정

이 사기는 수신자가 위조된 첨부 파일이나 '문서 보기' 버튼을 클릭하도록 유도하는 방식으로 이루어집니다. 어떤 옵션을 선택하든, 두 경우 모두 동일한 사기 페이지로 연결됩니다.

링크된 페이지는 Google의 Firebase Storage 플랫폼에 호스팅되어 있습니다. Firebase는 합법적인 클라우드 호스팅 서비스이지만, 사이버 범죄자들은 평판이 좋은 플랫폼을 악용하여 악성 콘텐츠를 호스팅하는 경우가 많습니다. 이러한 도메인은 신뢰할 수 있는 것처럼 보이고 기본적인 보안 필터를 우회할 수 있기 때문입니다.

방문자가 해당 페이지에 접속하면 이메일 주소와 비밀번호를 요구하는 가짜 DHL Express 로그인 양식이 나타납니다. 겉보기와는 달리 이 페이지는 DHL과 아무런 관련이 없습니다. 양식에 입력된 모든 정보는 사기 행위를 운영하는 사람들에게 직접 전송됩니다.

도난당한 자격증명이 그토록 가치 있는 이유는 무엇일까요?

로그인 자격 증명은 사이버 범죄자들이 가장 노리는 자산 중 하나입니다. 많은 사람들이 여러 온라인 계정에서 동일한 비밀번호를 재사용하기 때문에, 유출된 자격 증명 세트 하나만으로도 엄청난 이득을 얻을 수 있습니다.

공격자는 피싱 공격을 통해 로그인 정보를 획득하면 이메일 플랫폼, 쇼핑 사이트, 클라우드 저장소 계정, 소셜 미디어 네트워크 등 다양한 서비스에서 해당 계정 정보를 사용하여 테스트하는 경우가 많습니다. 계정 침해에 성공하면 무단 구매, 신원 도용, 계정 탈취, 금전적 손실, 그리고 중요한 온라인 서비스 이용 불가 등의 문제가 발생할 수 있습니다.

따라서 수신자는 스팸 메일을 통해 연결된 웹사이트에 접속할 경우, 메시지와 목적지의 진위 여부를 먼저 확인하지 않고는 절대로 접속 정보를 입력해서는 안 됩니다.

사기임을 드러내는 경고 신호

몇 가지 지표가 이러한 이메일의 사기성을 드러냅니다.

• 해당 메시지는 문서가 예기치 않게 공유되었다고 주장하며 즉각적인 조치를 촉구합니다.
• 표시된 'DHL Express Invoice Payment.docx' 파일은 실제 첨부 파일이 아니라 클릭을 유도하는 링크일 뿐입니다.
• 클릭 가능한 두 요소 모두 정식 문서 공유 서비스 대신 동일한 로그인 페이지로 연결됩니다.
• 해당 웹사이트는 DHL과 아무런 합법적인 관계가 없음에도 불구하고 이메일 자격 증명을 요구합니다.
• 이러한 커뮤니케이션은 신뢰받는 브랜드의 명성을 활용하여 수신자의 신뢰를 얻으려는 시도입니다.

악성코드와의 잠재적 연관성

피싱 공격은 단순히 개인정보 탈취에만 그치지 않습니다. 유사한 스팸 이메일을 이용해 악성 소프트웨어를 유포하는 경우도 있습니다.

사이버 범죄자들은 흔히 악성 파일을 청구서, 배송 알림, 결제 확인서, 계약서 또는 기타 일반적인 비즈니스 문서로 위장합니다. 이러한 악성 파일은 실행 프로그램, 압축 파일, PDF 문서, 스크립트 또는 악성 코드가 포함된 Microsoft Office 파일 형태로 유포될 수 있습니다.

악성코드가 활성화되려면 사용자 상호 작용이 필요한 경우가 많습니다. 악성 첨부 파일을 열거나, 매크로를 활성화하거나, 다운로드한 파일을 실행하거나, 사기성 링크를 클릭하면 감염 과정이 시작될 수 있습니다. 스팸 메일을 처리할 때 주의를 기울이면 감염 가능성을 크게 줄일 수 있습니다.

이메일을 받았을 경우 어떻게 대응해야 할까요?

이메일이 수신함에 도착했다면, 가장 안전한 방법은 이메일에 포함된 링크, 버튼 또는 첨부 파일을 클릭하지 않는 것입니다. 해당 메시지는 즉시 삭제해야 합니다. 가짜 로그인 페이지를 통해 이미 계정 정보를 입력한 사용자는 해당 비밀번호를 즉시 변경하고 동일한 계정 정보를 사용하는 다른 계정도 업데이트해야 합니다. 가능한 모든 곳에서 다단계 인증을 활성화하면 무단 접근을 방지하는 추가적인 보안 계층을 확보할 수 있습니다.

최종 평가

DHL Express Commerce 상태 업데이트 이메일은 DHL Express Commerce를 사칭하여 로그인 정보를 탈취하려는 피싱 사기입니다. 가짜 첨부 파일과 '문서 보기' 버튼은 모두 악용된 클라우드 서비스를 통해 호스팅되는 동일한 사기성 로그인 페이지로 사용자를 리디렉션합니다. 이 캠페인은 DHL이나 다른 합법적인 기관과 아무런 관련이 없으므로 수신자는 이러한 메시지를 악성으로 간주하고 내용에 접근하지 말고 즉시 받은 편지함에서 삭제해야 합니다.