최근 경찰청 출석 통지서로 위장한 해킹메일이 대량 유포되고 있습니다.

특히, 국내 교육기관에서도 해당 메일에 의한 침해사고 사례가 다수 발생하고 있어 각별한 주의가 요구됩니다.

해당 해킹메일은 대구, 울산, 인천, 수원, 경기 등 지방 경찰서를 사칭하고 있으며 본문은 경찰청 출석 통지서 관련 내용으로 동일하게 구성되어 있습니다. 최근에는 안산, 안성, 과천, 광명, 시흥, 속초 등 지역 경찰서를 사칭한 메일이 유포된 것을 확인 하였습니다.

[그림1] [안산경찰서] 사칭메일 해킹 메일

​ 

공격자는 경찰청 로고 및 법 관련 내용을 메일 보문에 포함시키는 수업으로 사용자 심리를 악용하여 첨부파일의 열람을 유도하는 공격기법을 사용하고 있으며 첨부된 파일의 확장자를 아래와 같이 사용자가 쉽게 식별할 수 없도록 다수의 공백을 표기하여 .doc 문서로 위장하고 있어 해당 파일 실행시 동일하게 GandCrab v5.1 감염 및 파일 암호화가 진행됩니다.

[그림2] 첨부 파일 상세

현재 교내 오피스365 메일을 통해서도 해당 악성 메일이 지속적으로 유입되고 있어 정보통신원에서는 스팸필터 정책강화를 진행하였습니다.

이에 일반적인 스팸 메일의 경우 사용자의 [정크 메일 폴더]로 메시지가 이동되며 높은 정확도의 스팸 메일의 경우 해당 메시지를 격리하여 사용자에게 해당 메일이 수신되지 않도록 적용하고 있습니다.

[그림3] [속초경찰서] 사칭메일 필터링 현황

대학 등 교육기관을 대상으로 해당 악성메일이 지속적으로 유포될 것으로 추정되며 유사 메일 수신시 열람을 지양하고 즉시 삭제 부탁드립니다.

현재 교내 사용중인 알약 백신을 통해 해당 랜섬웨어를 ‘Trojan.Ransom.GandCrab’ 로 탐지가능하며 랜섬웨어 차단 기능으로 파일 암호화 차단 설정이 가능 합니다.