[위협 분석] 텔레그램을 사칭한 스미싱 공격 사례

최근 국내에서 아래와 같은 이미지와 같은 스미싱 문자가 다수 유포되고 있습니다.





해당 메시지를 자세히 살펴보면, 내용과 URL이 글로벌 메시징 서비스인 텔레그램(Telegram)을 사칭하고 있음을 알 수 있습니다. 메시지에 포함된 URL 클릭하면 아이디, 전화번호, 비밀번호는 물론, 2차 인증 코드까지 입력하도록 유도하는 페이지가 나타납니다. 이는 크리덴셜을 탈취하기 위한 인포스틸러(InfoStealer) 형식의 공격으로 확인됩니다.

공격자들은 아래 예시와 같이 정식 서비스와 유사한 구조의 위장 도메인을 이용하여 클릭을 유도하므로, 의심스러운 메시지를 받았다면 URL 등을 클릭하기 전 세심한 주의가 필요합니다.

tele-gram-yd.kro.kr 
tele-gram-fe.kro.kr 
tele-gram-nm.kro.kr
tele-gram-qp.kro.kr
kortelegrams.kro.kr
tmoh-telegra.kro.kr
tele-gram-pc.kro.kr
tmth-telegra.kro.kr
tele-gram-or.kro.kr
tele-gram-q.kro.kr
tele-gram-m.kro.kr
tele-gram1.kro.kr
tele-gram.kro.kr
telegram-kc.o-r.kr
jm-telegram.o-r.kr
tele-gn.n-e.kr
telegram-bc.r-e.kr
telegr-am.o-r.kr
telegramx-my.kro.kr
telegramx-my.r-e.kr
msm-telebm.o-r.kr
in-fotelegram.o-r.kr
telegramlog-my.o-r.kr 


로그프레소에서는 2024년 12월 기준으로 최근 3개월간의 국내외 텔레그램 스미싱 사례를 분석하여 아래와 같이 16개의 IP를 발견하였습니다.

NoIPASNCountryCount
1154.211.12.247as133115 hk kwaifong group limitedHK153
2139.99.89.153as16276 ovh sasSG118
3172.104.112.214as63949 linode, llcJP112
439.109.114.214as133115 hk kwaifong group limitedHK48
5119.28.222.72as132203 tencent building, kejizhongyi avenueHK30
6154.197.6.70as136970 yisu cloud ltdHK10
7103.119.3.186as55933 cloudie limitedCN7
847.251.98.254as45102 alibaba (us) technology co., ltd.US2
947.88.28.16as45102 alibaba (us) technology co., ltd.US1
1084.32.84.149as33922 uab nacionalinis telekomunikaciju tinklasLT1
11103.27.78.54as4842 tianhai infotechAU1
12103.100.211.147as133115 hk kwaifong group limitedHK1
13154.83.17.130as133115 hk kwaifong group limitedUS1
14154.83.17.210as133115 hk kwaifong group limitedUS1
15154.197.7.71as136970 yisu cloud ltdHK1
16154.211.13.17as133115 hk kwaifong group limitedHK1


위장 도메인이 많이 연결된 IP 순위를 살펴보면 153개, 118개, 112개 순이었습니다. 이러한 규모로 살펴보아, 전문적인 범죄 집단에 의한 개인정보 탈취 시도가 일상적으로 벌어진다고 볼 수 있습니다. 이에 따라 기업의 보안 담당자는 개인정보 탈취 등의 피해를 방지하기 위해 관련 IP 주소를 차단하는 것이 필수적입니다.

로그프레소 CTI 서비스는 머신러닝 기반의 악성 도메인 자동 탐지 기술을 활용하여 이러한 스미싱 공격을 신속하게 분석할 수 있습니다. 해당 서비스를 구독하시면 관련 도메인과 IP 주소 등의 정보를 빠르게 제공받아, 시의적절하게 대응할 수 있습니다.

둘러보기

더보기

로그프레소 CTI 리포트_Vol.10

제10호에서는 2024년 위협 회고 및 2025년 전망과 함께 일본, 대만, 인도, 베트남에 이어 인도네시아의 크리덴셜 유출 실태를 집중 조명했습니다. 또한 2024년 아시아 태평양 지역을 대상으로 발생한 사이버 공격 사례를 비교 분석하였습니다.

2025-01-13