미국 우정청 USPS(United States Postal Service)는 우편 서비스를 제공하는 미국 정부의 독립 기구 중 하나로, 미국에서 보편적으로 사용되는 서비스이다. 최근 USPS를 사칭하는 도메인들의 트래픽이 실제 공식 사이트의 트래픽보다 현저히 높았다는 보안 기업의 조사 결과가 여러 글로벌 언론 매체에서 보도되며 이슈가 되고 있기도 하다.
이번 글에서는 피싱 공격자들이 어떤 방식으로 USPS 사칭 도메인을 악용하고 있는지 알아보려고 한다. 또한, 위협 인텔리전스 검색엔진 Criminal IP의 Domain Search 링크 스캐너 기능으로 의심스러운 피싱 사이트를 악용한 스미싱 사기를 식별하는 방법을 공유하려고 한다.
USPS 피싱 사이트와 스미싱 사기의 교묘한 수법
2001년 기준 USPS는 유저들에게 1,036억 개가 넘는 배달 현황 이메일을 발송했다고 한다. 그만큼 미국에서 USPS의 이용률은 매우 높다고 볼 수 있다. 현재는 이메일 발송 시스템 보다 간편한 모바일 문자 서비스가 보편화 되면서 실시간 배송 현황 체크가 더 수월해졌다. 하지만 모바일 서비스로 편리해짐과 동시에 택배 이용자를 노리는 스미싱 사기 역시 성행하고있다. 실제 USPS 스미싱 사기로 발송된 문자 메세지에 삽입된 URL을 살펴보면, “추적(Track)”, “모니터(Monitor)”, “우편물(Package)” 등 우편물을 기다리는 사용자들의 클릭을 유도하는 키워드가 사용된 도메인이 대부분이다.
보도된 기사에 따르면 분산 컴퓨터 전문 기업 아카마이(Akamai)는 5개월 동안 악성 JavaScript 코드가 포함된 도메인으로 리다이렉션되는 의심스러운 USPS 사칭 SMS들을 분석하였다. 이 결과로 “.com”, “.top”, “.shop”, “.xyz”, “.org”, “.info”와 같은 인기 최상위 도메인(Top-level Domains, TLDs)을 사용한 USPS 피싱 사이트에서 발생한 총 쿼리의 수는 백만 건이 넘는다. 심지어 11월 말 부터 겨울 휴가철이 시작되면서는 피싱 사이트의 총 쿼리가 공식 사이트인 usps.com 사이트에서 발생한 쿼리의 수를 초과하는 것을 확인할 수 있었다. SMS에 삽입된 악성 URL을 클릭할 경우 모바일에 연동된 유저들의 계정 정보, 카드 정보 등 민감한 정보들이 유출될 수 있다.
AI 링크 스캐너가 탐지한 USPS 피싱 사이트 통계
AI 링크 스캐너 확장 프로그램 Criminal IP에서 지난 8개월 간 탐지된 USPS 피싱 사이트를 분석해 보았다. 아카마이의 분석 인사이트와 동일하게 연말, 연초 택배 사용량이 많아지는 시기에 피싱 사이트가 급격히 증가했다.
피싱 사이트가 가장 많이 탐지된 1월에는 한 달 간 총 323 건의 USPS 사칭 도메인이 발견되었으며, 최근까지도 한 달에 100건에서 200건 가량 다수의 피싱 사이트가 탐지되고있다.
유명한 서비스일수록 사이버 공격자들의 피싱 공격 대상이 되기 쉽다. 또한 통계에서도 볼 수 있듯이 공격이 많이 발생하는 시기에는 피해자들의 신고 또는 사이버 수사로 인해 차단되는 도메인 역시 많아지고, 그만큼 새로운 피싱 사이트가 더 많이 생성된다.
실시간 링크 스캐너로 USPS 피싱 사이트 식별하기
USPS 피싱 사이트는 유명한 피싱 공격인 만큼 빠르게 생성되고 사라진다. 이런 특징으로 인해 피해자들은 매 번 새로운 피싱 사이트가 삽입된 스미싱 공격을 당하게 되고, 어떤 링크가 피싱 링크인지 식별하기 더욱 어려워진다.
이 때 필요한 것이 실시간 링크 스캐너, URL 검사 도구이다. Criminal IP의 Domain Search는 의심스러운 URL을 입력하고 스캔하여 실시간으로 피싱 사이트를 탐지한다.
우리는 최근 스미싱 공격에 사용된 USPS 피싱 사이트의 도메인을 Domain Search에 스캔해 보았다.
피싱 사이트의 URL은 usps-pr[.]helptme[.]top/address.html 로, .top 최상위 도메인을 사용했으며, URI에는 역시나 USPS 문자열과 helpme 와 같은 유저의 클릭을 유도하는 키워드가 포함되어 있다.
- USPS 피싱 사이트 링크 스캐너 스캔 결과 확인하기: https://www.criminalip.io/ko/domain/report?scan_id=12637492
스캔 결과, 해당 사이트는 99%의 위험도의 크리티컬 도메인 스코어링으로 판단 되었으며, 생성된 지 한 달도 되지 않은 도메인임을 확인할 수 있다. 또한, 주로 악의적인 목적으로 사용되는 리다이렉션 이벤트도 html 코드 안에 포함되어 있으며 사용 중인 파비콘도 가짜 파비콘으로 판단되었다. 결정적으로는 AI에 의해 판단되는 피싱 URL 가능성(Probability of Phishing URL)이 96.38%로 매우 높게 나타났다.
USPS 피싱 사이트 스미싱 사기와 같이 공격자들 사이에서 유행하는 피싱 공격은 매 번 새로운 도메인을 사용하기 때문에, 이처럼 스캔 도구나 위협 인텔리전스를 사용해 예방하는 것이 좋다. 시키지도 않은 택배나 우편 배송 추적 링크가 삽입된 문자를 받았다면 링크를 클릭하기 전에 Criminal IP에 스캔하여 위의 항목들에 문제가 없는지 확인해야 한다.
피싱 공격에 사용되는 도메인은 접속 만으로도 악성코드가 다운로드 되거나 정보가 유출될 위험이 있어서 클릭하지 않는 것이 좋다. Criminal IP 링크 스캔 결과에는 스크린샷 데이터가 포함되어있어 실제 피싱 사이트에 접속하지 않고도 해당 도메인의 접속 화면을 확인할 수 있다. 좌측 이미지는 실제 USPS 공식 사이트의 발송 추적 화면이고 우측 이미지는 Domain Search로 스캔한 피싱 사이트의 화면이다. 두 화면을 비교해 보면 USPS 피싱 사이트는 피해자가 방문 후 별 다른 의심 없이 개인 정보를 기입할 만큼 정교하게 만들어져 있다.
Criminal IP Domain Search로 스미싱 사기 사전 예방
USPS 뿐만 아니라 수 많은 글로벌 브랜드들을 사칭하는 도메인은 AI 기술의 발전으로 기하급수적으로 증가하고 있으며, 더불어 피싱 공격 피해 사례도 증가하고 있다. 피싱 사이트가 점점 더 교묘해지고 빨라지는 만큼 예방 방법의 고도화가 필수적이다. 의심스러운 도메인을 발견한 경우, Criminal IP의 Domain Search를 링크 스캐너로 활용하여 피싱 여부 뿐만 아니라 도메인의 각 구성 요소에 대한 보안 인텔리전스 정보 까지 자세한 정보를 확인할 수 있다.
의심스러운 사이트에 방문해야 할 경우 도메인 주소를 Criminal IP Domain Search에 스캔하여 스미싱 사기를 예방할 것을 추천한다.
관련하여 스팸 차단 솔루션도 피해가는 QR 코드 피싱, 위협 인텔리전스로 탐지 될까? 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP(https://www.criminalip.io/ko)