SPAM - basic analysis

본 티스토리 블로그는 PC 환경에최적화되어 있습니다.

모바일 유저분들은 아래 네이버 블로그를이용해 주세요.

 

SPAM - basic analysis

 

예전에 핸드폰 기종을 바꾸면서 전화번호를 바꾼 적이 있었는데 여기저기 팔려 다녔던 것인지 알 수 없는 스팸 메시지가 와서 골머리를 썩고 있습니다...

그나마 국내 전화면 다행이지만 국제 전화로 오면 차단을 해도 계속해서 오고, 계속 링크도 같이 보내고 있어서 한번 간단하게 분석해볼 까 합니다.

 

1. 메시지 내역

대부분 어떤 url을 보내는데, 특이하게도 한글로 작성되었음을 알 수 있습니다.

일단 해당 url을 그냥 접속하면 위험에 노출될 가능성이 높으므로 가상환경에서 접속 시도해 보도록 하겠습니다.

 

 

2. 접속내역

딱히 특별한 행위는 보이지 않고 그냥 홍보 사이트인 것 같으며, 파일 다운로드를 진행하거나 쿠키 값에 접근하는 악행 행위는 확인되지 않았습니다.

대부분 스팸메일들을 조금 확인해 보니 다음과 같은 기법을 사용하는 것으로 확인되었습니다.

 

1) url 단축 또는 변환 서비스 이용

대부분 url이 naver, tstory, ... 등과 같이 잘 알려진 주소 정보가 아니면 유해 url로 인식하고 접속 시도를 하지 않게 됩니다.

공격자들은 이 부분을 해결하기 위해 url 단축 서비스를 이용하는데 전문용어로 단축 도메인(URL shortener) 서비스라고 부릅니다.

스팸에서 활용되면 접속자는 어떤 사이트에 연결하는지 알 수 없기 때문에 가능하면 임의의 링크는 접속 시도하지 않는 것이 좋습니다.

 

아래는 국내외 url 단축 서비스를 제공하는 사이트입니다.

 

국내

국외

abit.ly - AB180 Inc. blow.pw - QUVVE c11.kr - Pete Lee di.do - donic.do fw.sg - 닷컴디자인그룹 han.gl - 기가메모리 hana.icu - Hana koe.kr - nesez networks lrl.kr - Starfury mlnl.me - 김태형 muz.so - MU-star.net na.to - ㅇㅣ흐ㅣ호 page.ml - 코딩공방 reurl.kr - (주)알오아이플러스 t2m.kr - T2M twr.kr - 崔瑆鉉 url.kr - 웹웍스 url.seroweb.net - SEROworld url.sg - URL Smart Generator vo.la - 투링크 vot.kr - vot.kr vvd.bz - 비볼디 wiv.kr - abcde.pw wo.to - 우뜨넷

Bitly - bitly Inc. flic.kr - flickr t.co - Twitter Inc. tinyurl.com - TinyURL, LLC.

 

2) 국제전화

국가적으로 스팸 메시지나 보이스 피싱의 피해 사례가 증가함에 따라 신고제를 통한 전화번호 블랙리스트를 구축했습니다.

 

각 통신사 또는 SNS 서비스 회사는 신고제를 도입하여 해당 정보를 밴(BAN) 하는 방식을 통해 줄여왔는데 공격자는 이를 우회하기 위해 국제전화를 활용하기 시작했습니다.

특히 국내에는 006으로 시작하는 국제 발신이 최근 급증했는데, 이는 통신사별 고유 번호이며 국가 코드 번호가 아닙니다.

 

개인적으로 저에게 보낸 국제 발신을 직접 추적해 봤는데 대부분 유럽 미국 쪽이었으며 추가적인 조사는 힘들었습니다.

다음에 기회가 된다면 공개 정보를 기반으로 전화번호 발신지 추적 기술을 만들어 보는 것도 나쁘지 않겠네요.

 

현재 국내에서는 통신사별로 국제 발신을 차단하는 서비스를 제공하고 있습니다만... 일부 사례에서는 국제 전화를 010으로 변환하는 중계기를 활용하여 스팸, 보이스 피싱을 진행하였습니다.

 

“국제번호를 010으로 변환” 中 범죄조직 도운 일당 검거

 

국제전화가 '010' 둔갑…의심없이 받았다가 보이스피싱 '날벼락' | 연합뉴스

여하튼, 스팸이니 악성코드니 정말로 어지럽군요...

오늘은 여기서 글을 마치도록 하겠습니다.

부족한 글 읽어주셔서 감사합니다!