최근 네이버 고객 센터로 위장하여 사용자 계정 탈취를 목적으로 유포중인 악성메일이 식별되고 있어 사용자의 주의가 요구 됩니다.

정보통신원은 교내 사용자를 대상으로 네이버 고객센터를 사칭하여 ‘네ol버 휴대전화번호가 변경되었습니다’ 라는 제목의 악성메일이 유포된 정황을 식별 하였습니다.

해당 메일은 정상 메일로 위장하고 있으나 사용자가 주의를 기울이면 고객 센터 정상 메일과 식별이 가능 합니다. 아래 그림과 같이 정상 메일의 경우 네이버 로고가 표시되고 있으나 해당 악성 메일은 일반 메일과 같은 ‘편지’ 모양의 아이콘으로 되어 있습니다.

또한 발신자 정보 또한 ‘네이버’ 가 아닌 ‘네ol버’ 로 되어 있으며 발신 메일 주소 역시 정상적인 고객센터 메일 주소가 아닌 탈취가 의심되는 메일 계정을 사용하고 있습니다.

[그림] 악성 메일 아이콘 비교

악성 메일 본문은 네이버 로고 및 정상적으로 네이버 고객센터에서 발송되는 시스템 양식을 따르고 있어 사용자의 식별이 제한됩니다. 하지만 본문의 ‘휴대전화번호 확인하러가기 >’ 링크를 확인해 보면 검증되지 않은 URL이(https://rebrand[.]ly/5au1c4s) 표기 되는 것을 확인 할 수 있습니다.

[그림] 악성 메일 본문

사용자가 해당 링크를 클릭하게 되면 정상 네이버 로그인 페이지로 위장한 ‘피싱 페이지’가 확인되며 사용자 계정 정보 입력을 요구합니다. 정상 계정 정보 입력 시 공격자는 해당 정보를 탈취하고 네이버 정상 로그인 페이지로 연결하고 있어 사용자가 본인의 계정 정보 유출 정황을 확인하기 어렵습니다.

위와 같은 방식으로 탈취된 사용자 계정 정보를 통해 공격자에 의한 계정탈취, 금전적 피해가 발생 할 수 있어 네이버 국외 접속 차단 및 2차 인증 기능을 활성화 하여 계정 보안을 강화해야 합니다.

공공기관 및 교육기관 사용자를 대상으로 악성 메일 유포가 지속되고 있어 발신자가 불분명한 메일의 열람 및 첨부파일, 링크 실행을 지양하고 계정 정보 입력 시 공식 로그인 페이지 주소 여부를 확인하는 등 사용자의 주의가 요구 됩니다.