주문하신 상품이 배송 중입니다'라는 이메일 사기

구매, 배송 또는 계정 활동과 관련된 예상치 못한 이메일은 항상 주의해야 합니다. 사이버 범죄자들은 수신자가 확인 없이 행동하도록 유도하기 위해 악성 메시지를 합법적인 회사 이메일로 위장하는 경우가 많습니다. '주문하신 상품이 배송 중입니다'라는 이메일 캠페인이 바로 그러한 사례입니다. 자세한 분석 결과, 이러한 이메일은 악성 스팸 메시지이며 어떠한 합법적인 회사, 배송업체, 소매업체 또는 기관과도 관련이 없는 것으로 확인되었습니다.

긴급성을 조성하기 위한 가짜 배송 알림

'주문하신 상품이 배송 중입니다'라는 이메일은 실제 배송 알림처럼 보이도록 제작되었습니다. 일반적으로 제목에 주문 번호와 참조 코드가 포함되어 있어 메시지가 신뢰할 만하고 전문적으로 보이도록 합니다.

수신자는 소포가 발송되었다는 알림을 받고, 배송 추적 정보와 배송 업데이트를 확인하려면 '배송 정보 보기' 버튼을 클릭하라는 안내를 받습니다. 이러한 문구는 의도적으로 호기심과 조급함을 유발하여 수신자가 메시지를 자세히 살펴보지 않고 제공된 링크를 클릭할 가능성을 높입니다.

실제로 해당 이메일은 실제 구매나 배송과는 아무런 관련이 없습니다. 이메일의 유일한 목적은 수신자를 악성 웹사이트로 연결하여 시스템에 멀웨어를 감염시키는 것입니다.

사기 행각의 배후에 있는 악성 웹사이트

삽입된 링크를 클릭하면 사용자는 increminder.com에 호스팅된 사기 페이지로 이동합니다. 해당 사이트는 주문 관리 또는 배송 포털처럼 보이도록 디자인되어 있어 합법적인 사이트라는 착각을 더욱 부추깁니다.

해당 웹페이지는 배송 정보가 처리되었으며 주문 상세 정보를 다운로드할 수 있다고 안내합니다. 또한 다운로드한 파일이 상품 수령에 필요할 수 있다는 경고 문구를 넣어 방문자가 다운로드를 진행하도록 유도하는 심리적 전략을 사용합니다.

해당 사이트는 배송 추적 정보나 주문 내역을 제공하는 대신 'ScreenConnect.ClientSetup.msi'라는 악성 파일을 배포합니다. 이 파일은 일반 Windows 설치 프로그램처럼 보이지만 실제로는 ScreenConnect의 트로이목마화된 버전을 포함하고 있습니다.

트로이목마가 감염된 원격 접속 소프트웨어는 심각한 위험을 초래합니다.

ScreenConnect 자체는 ConnectWise에서 개발한 정식 원격 데스크톱 소프트웨어로, IT 지원 전문가들이 원격 지원 및 시스템 관리에 널리 사용합니다. 그러나 사이버 범죄자들은 이러한 도구를 변조하여 악성 버전을 배포함으로써 피해자의 기기에 무단으로 원격 접근 권한을 부여하는 경우가 빈번합니다.

악성 설치 프로그램이 실행되면 원격 액세스 도구는 아무런 감지 없이 백그라운드에서 조용히 작동할 수 있습니다. 공격자는 감염된 시스템에 대한 광범위한 제어 권한을 확보하여 다음과 같은 다양한 악의적인 활동을 수행할 수 있습니다.

• 기밀 파일 및 저장된 자격 증명 탈취
• 사용자 활동 모니터링 및 민감한 정보 수집
• 랜섬웨어 또는 스파이웨어와 같은 추가 악성 프로그램을 설치하는 것
• 사기 거래를 하거나 온라인 계정을 악용하는 행위

해당 악성 소프트웨어는 지속적인 원격 접근을 제공하기 때문에 감염된 시스템은 완전히 손상된 것으로 간주해야 합니다.

악성 스팸 캠페인은 어떻게 악성코드를 유포하는가

스팸 캠페인은 악성 첨부 파일이나 유해 웹사이트로 연결되는 링크를 통해 악성 소프트웨어를 배포하는 경우가 많습니다. 이러한 파일은 수신자가 의심 없이 열어보도록 청구서, 영수증, 배송 서류 또는 계좌 명세서로 위장하는 경우가 흔합니다.

이번 공격 캠페인에서 공격자들은 직접적인 첨부 파일 대신 악성 링크를 이용합니다. 링크를 클릭한 수신자는 가짜 주문 포털로 이동하여 감염된 설치 파일을 다운로드하도록 유도됩니다. 악성 프로그램은 실행된 후 피해자에게는 거의 보이지 않게 원격 접속 권한을 확보합니다.

이 방법은 악성 페이로드가 이메일에 직접 첨부되는 것이 아니라 외부 서버에 호스팅되기 때문에 공격자가 일부 이메일 보안 필터를 우회할 수 있도록 합니다.

피해 사용자들을 위한 즉각적인 조치

'ScreenConnect.ClientSetup.msi' 설치 프로그램을 다운로드하거나 실행한 사람은 시스템에 대한 무단 접근이 이미 발생했을 가능성이 있으므로 즉각적인 조치를 취하는 것이 좋습니다. 잠재적 피해를 최소화하기 위해 즉시 조치를 취하시기 바랍니다.

즉시 전체 바이러스 또는 악성코드 검사를 실시하고, 감염된 기기와 관련된 모든 중요한 비밀번호는 별도의 안전한 시스템에서 변경해야 합니다. 금융 계좌, 이메일 계정 및 회사 로그인 정보 또한 의심스러운 활동이 있는지 모니터링해야 합니다.

악성 이메일 자체는 즉시 삭제해야 하며, 수신자는 해당 메시지와 관련된 링크를 클릭하거나 파일을 다운로드하지 않아야 합니다.

배달 관련 사기로부터 자신을 보호하는 방법

배송을 주제로 한 피싱 및 악성코드 공격은 일반적인 온라인 쇼핑 습관과 배송 업데이트에 대한 기대감을 악용하기 때문에 여전히 매우 효과적입니다. 공격자들은 수신자가 메시지의 진위 여부를 신중하게 판단하기 전에 빠르게 반응할 것이라는 점을 이용합니다.

사용자는 공식 판매업체 또는 택배사 웹사이트를 통해 배송 알림을 직접 확인하고, 스팸 메일에서 파일을 다운로드하지 않으며, 예상치 못한 배송 알림에 대해 회의적인 태도를 유지함으로써 이러한 위협에 노출되는 것을 줄일 수 있습니다. 세련되고 전문적으로 보이는 이메일조차도 그럴듯한 브랜드 이미지와 긴급한 어조 뒤에 심각한 보안 위협을 숨기고 있을 수 있습니다.