SharedIT | 묻고 답하기(AMP)

직원 사칭 스팸메일 관련 질문드립니다.

최근 언론매체를 통해 많이 접하셨을거라고 생각이됩니다. 

임직원 이메일 계정을 사칭하여 사내로 스팸메일이 유입되는 사례가 종종 일어나고 있습니다. 

  • 1.예전에는 단순하게  "사용자이름" 란에 사내 직원 이메일 주소를 기입하여 단문성의 이메일을 보냈다면,

    2. 이번에는 사용자명도 사칭하고, 메일 제목 자체도 회사 업무와 관련한 제목으로 스팸메일이 들 

       어오더라구요.  (본문에는 zip 파일의 pass 를 포함)

    3.  저는 이런 해킹 방식이 어떻게 이루어 지는지 궁금합니다. 


단순하게, 이메일 계정을 탈취를 했으면 그 이메일주소를 이용하여 스팸메일을 발송할텐데 

(ex - 사칭이메일계정 및 사용자명(심지어 소속까지) <실제발송주소>)

이제는 제목까지 회사 사업과 관련하여 들어오니, 교육 제대로 안하면 그냥 당하겠다고 생각이 들더라구요

혹시 계정 탈취에 대한 스팸메일에서 이런 방식은 도대체 어떻게 하는걸까요? ㅎㅎ

답답해서 KISA에 연락했더니 거기까진 답변을 해주기가 힘들다고 경찰서에 신고하라고만 하네요 ㅎㅎ

Tags : 태그가 없습니다.

11개의 답변이 있습니다.

쿨가이
  0 추천 | 일 년 이상 전

심각한 수준이네요. 단순 스팸메일이 아니라 계정도용, 악의 목적까지 있는것으로 보입니다.

스팸메일이나 보안 솔루션이 없다면 이번기회에 컨설팅, 진단받으시고 안전한 메일 시스템 운영하시기 바랍니다.

Genghis Khan
  0 추천 | 일 년 이상 전

스팸스나이퍼 솔루션을 도입을 해도 마찬가지로

직원 메일 도용해서 스팸으로 많이 들어옵니다

스팸스나이퍼 솔루션이 업데이트 되는것도

시간차가 있구요 

url이나 첨부 파일은 항상 스팸여부를 확인해야하고

직원 메일 사칭은 누군가의 의해 노출될 가능성이

있다고 보이네요

-novice-
  0 추천 | 일 년 이상 전

공격자가 얻은 정보의 내용, 정보를 얻은 경로, 공격 방식 등에 따라 달라지다 보니 KISA 같은 곳에서 명확한 답을 주기는 어려울 것 같습니다.

본문에 적으신 내용으로만 보자면 부산갈매기님 회사의 업무 내용과 수발신 대상자의 부서, 역할, 과거 주고 받았던 메일 내용 등까지 공격자가 입수한 것 같은데 실제 수신된 메일의 발신자와 계정명만 해당 계정 사용자 정보이고 발신 서버가 다르다면, 알 수 없는 경로로 얻은 정보를 활용한 것이고,
발신 서버까지 실제 회사의 이메일 서버라면 해당 계정 사용자의 계정 정보가 탈취되거나 사용하는 PC 자체가 해킹되었다고 봐야할 것 같습니다.

해킹 경로는 탈취된 계정 정보를 바탕으로 이루어졌을 수도 있고, PC의 취약점일 수도 있고, 원인이 다양한여 해당 PC나 메일 서버 등에 대한 좀 더 상세한 조사가 필요할 것 같습니다.

명동쓰레빠
  0 추천 | 일 년 이상 전

내부적으로 이메일을 일괄 특정 문자를 붙여 변경을 해보시길 바랍니다.


danis78
  0 추천 | 일 년 이상 전 | 제이컴즈 | 010-2871-8756

저희도 예전에 저렇게 몇번 당한 적이 있었는데 실질적으로 피해를 본 게 없어서 

사이버 수사대에도 신고도 못했습니다. 피해를 본 게 있어야 신고를 접수할 수 있다고 하네요 

(KISA 는 신고하라고 그러고)

KISA 가 저런 해킹 사건에 대해서 가이드 라인 같은 걸 내려주면 좋은데 그 정도 역량까지

안되는 거 같습니다. 모의 해킹 훈련도 신청해서 몇번 받아봤는데 딱히 저희가 원하는 수준만큼

못해주더라구요 

Simon.Park
  0 추천 | 일 년 이상 전

요즘도 보낸 계정을 바꿔서 메일을 보내는 건 심심치 않게 보이던데,

거기에 제목까지라면 조금 심각한 사태라고 생각되네요.

내부의 업무나 내부 직원 메일 계정들을 다 알고 있다고 봐야 하는데,

스팸 솔루션 도입은 반드시 되어야 할 꺼 같고,

그것만으로도 분명히 되지 않을 것이니, 내부 인원들에게도 단단히 공지 및

교육을 해야 할 것 같습니다. 

낭만생선
  0 추천 | 일 년 이상 전
  • 1.우리회사 직원의 PC가 트로이 목마등으로 인해 침해를 당했을때, 직원의 메일 정보를 다 가져갈수 있겠죠. 보낸사람, 받는사람, 메일 제목, 메일 내용.. 해커나 내부로 침입만 하면 일도 아닌일입니다. 이런 정보를 도메인별로 DB화 하는것은 쉬운일일것입니다.

  • 2.우리와 메일을 주고 받는 외부 회사중 보안에 취약하거나 네이버, 다음같은 포털을 쓰는 경우, 쉽게 해킹을 당할수 있습니다. 그 회사를 대상으로 1의 행위를 하면 나의 메일주소도 털리게 됩니다.

  • 3.우리와 거래하는 보안에 취약한 회사가 침해를 당해 탈취당한 메일 내용으로 우리 직원에게 트로이목마등으로 공격할수 있습니다. 이전에 주고받았던 메일에 첨부파일 하나만 넣어 놓으면 아무 의심없이 클릭합니다. 이런식으로 침해를 당하면 1,2,3을 무한 반복 할수 있습니다.

  • 4.경찰서 사칭 같은 과거 패턴의 스팸메일의 클릭율이 5% 대, 교육 잘시키면 2% 미만까지 낮출수 있다면, 이런 사칭 메일은 클릭율이 최대 70~80%까지 올라갈수 있습니다. 팀메일주소가 탈취되어 고객사 사칭해서 팀으로 메일이 온적있는데 거의다 클릭하더군요. 솔루션으로 못막습니다. 교육으로도 100% 막기 어렵다고 봅니다. 정말 메일이 중요하다고 생각하시면 외부 메일의 전수 모니터링등을 고려하는것도 방법입니다. 아니면 첨부파일이 포함된 모든 외부메일을 차단을 걸고 수동으로 복구를 해주는등의 엄격한 관리도 방법일것 같네요.

오늘도맑음 | 일 년 이상 전

말씀하신데로 이전에 주고받았던 메일에 첨부파일 하나 추가 하면 진짜 대부분 클릭할것 같네요.. 

wansoo
  0 추천 | 일 년 이상 전

이름까지 유출되었다면 단순한 무작위 전송은 아닌것 같아 보이네요.

특정 이름만 유출되었는지 여러 직원의 이름이 유출되었는지도 확인해 봐야 할것 같아 보이고요.

인터넷으로 외부 교류가 많은 특정인의 정보가 유출될 가능성은 많을걸로 보이지만,

다수의 사내 직원 이름을 사칭해서 메일이 온다면 사내 인사 관련된 정보가 해킹 당했을 가능성이 높지 않을까 싶어 보이네요.

사내 악성 코드 등에 의해 내부 기밀 서류가 외부로 유출되었을 가능성을 확인해봐야하지 않을까 싶네요.

클라우드코디
  0 추천 | 일 년 이상 전

이메일은 엽서와 같습니다. 안전한 이메일 서비스를 이용하세요

빨간신발
  0 추천 | 일 년 이상 전

단지 이름만 도용하는 것인지

계정까지 도용인지에 따라서 대응이 달라져야 할 듯 합니다

이름 소속 업무내용까지 알고 발송한다면,

이런게 apt공격의 일종이 아닐까 생각되네요

단순히 한두번 찔러보는 것이 아닌, 꽤 오랜기간동안 자료를 수집하고 준비하여 실행하는게 아닌가 싶네요

도용당하는 당사자는 사용하는 계정(업무용, 개인용 모두)의 비번을 다 바꾸고, 컴이나 핸드폰도 리셋하고 최소한의 꼭 필요한 것만 설치해서 사용하는 것을 권장드려요

차바라기
  0 추천 | 일 년 이상 전

직원사칭 스팸메일 자료 취합하여 경찰서에 먼저 신고를 하고 나면 경찰서에서 사이버쪽으로 수사를 의뢰할거 같습니다.