최근 국내에서 아래와 같은 이미지와 같은 스미싱 문자가 다수 유포되고 있습니다.

해당 메시지를 자세히 살펴보면, 내용과 URL이 글로벌 메시징 서비스인 텔레그램(Telegram)을 사칭하고 있음을 알 수 있습니다. 메시지에 포함된 URL 클릭하면 아이디, 전화번호, 비밀번호는 물론, 2차 인증 코드까지 입력하도록 유도하는 페이지가 나타납니다. 이는 크리덴셜을 탈취하기 위한 인포스틸러(InfoStealer) 형식의 공격으로 확인됩니다.
공격자들은 아래 예시와 같이 정식 서비스와 유사한 구조의 위장 도메인을 이용하여 클릭을 유도하므로, 의심스러운 메시지를 받았다면 URL 등을 클릭하기 전 세심한 주의가 필요합니다.
tele-gram-yd.kro.kr tele-gram-fe.kro.kr tele-gram-nm.kro.kr tele-gram-qp.kro.kr kortelegrams.kro.kr tmoh-telegra.kro.kr tele-gram-pc.kro.kr tmth-telegra.kro.kr tele-gram-or.kro.kr tele-gram-q.kro.kr tele-gram-m.kro.kr tele-gram1.kro.kr tele-gram.kro.kr telegram-kc.o-r.kr jm-telegram.o-r.kr tele-gn.n-e.kr telegram-bc.r-e.kr telegr-am.o-r.kr telegramx-my.kro.kr telegramx-my.r-e.kr msm-telebm.o-r.kr in-fotelegram.o-r.kr telegramlog-my.o-r.kr
로그프레소에서는 2024년 12월 기준으로 최근 3개월간의 국내외 텔레그램 스미싱 사례를 분석하여 아래와 같이 16개의 IP를 발견하였습니다.
No | IP | ASN | Country | Count |
---|---|---|---|---|
1 | 154.211.12.247 | as133115 hk kwaifong group limited | HK | 153 |
2 | 139.99.89.153 | as16276 ovh sas | SG | 118 |
3 | 172.104.112.214 | as63949 linode, llc | JP | 112 |
4 | 39.109.114.214 | as133115 hk kwaifong group limited | HK | 48 |
5 | 119.28.222.72 | as132203 tencent building, kejizhongyi avenue | HK | 30 |
6 | 154.197.6.70 | as136970 yisu cloud ltd | HK | 10 |
7 | 103.119.3.186 | as55933 cloudie limited | CN | 7 |
8 | 47.251.98.254 | as45102 alibaba (us) technology co., ltd. | US | 2 |
9 | 47.88.28.16 | as45102 alibaba (us) technology co., ltd. | US | 1 |
10 | 84.32.84.149 | as33922 uab nacionalinis telekomunikaciju tinklas | LT | 1 |
11 | 103.27.78.54 | as4842 tianhai infotech | AU | 1 |
12 | 103.100.211.147 | as133115 hk kwaifong group limited | HK | 1 |
13 | 154.83.17.130 | as133115 hk kwaifong group limited | US | 1 |
14 | 154.83.17.210 | as133115 hk kwaifong group limited | US | 1 |
15 | 154.197.7.71 | as136970 yisu cloud ltd | HK | 1 |
16 | 154.211.13.17 | as133115 hk kwaifong group limited | HK | 1 |
위장 도메인이 많이 연결된 IP 순위를 살펴보면 153개, 118개, 112개 순이었습니다. 이러한 규모로 살펴보아, 전문적인 범죄 집단에 의한 개인정보 탈취 시도가 일상적으로 벌어진다고 볼 수 있습니다. 이에 따라 기업의 보안 담당자는 개인정보 탈취 등의 피해를 방지하기 위해 관련 IP 주소를 차단하는 것이 필수적입니다.
로그프레소 CTI 서비스는 머신러닝 기반의 악성 도메인 자동 탐지 기술을 활용하여 이러한 스미싱 공격을 신속하게 분석할 수 있습니다. 해당 서비스를 구독하시면 관련 도메인과 IP 주소 등의 정보를 빠르게 제공받아, 시의적절하게 대응할 수 있습니다.