다음 고객센터 사칭 피싱메일 / 해외 로그인이 차단되었습니다 , 아이디 보호 안내

최근 다음계정 메일로 다음 고객센터에서 보안관련 메일을 계속 보냈다. 해외접속이 있었으니 암호를 바꾸라는 메일이 계속 왔었고, 요며칠 사이엔 스팸메일을 뿌리고 있으니 암호를 바꾸라고 했다. 그래서, 암호를 바꿨는데...

제목은 

[Daum] 해외 로그인이 차단되었습니다.

[Daum] 아이디 보호 안내

아래 캡쳐화면이 내게 온 두번째 종류의 메일이다. 결론부터 말하면 피싱메일이고, 전혀 의심하지 않았고, 다음에서 보낸 메일로 생각했었다. 다만, 경고의 내용이 구체적이지 않아서, 다음 이놈들 한심하다고만 생각했다.

위 캡쳐를 보면, "새로운 비밀번호로 변경" 링크가 security.daum... 으로 시작하기 때문에, 정상적인 daum 사이트로 착각하기 쉽다. (아마도 흘깃 보고 착각했었던 듯.) 하지만 전체 url을 보면, wkpc.net 이라는 도메인이 진짜 도메인이다.

하지만, 비밀번호 변경 이외의 다른 링크들은 모두 정상적인 다음 도움말 링크들이다. 이 링크들을 눌러보고 도움말들 찾아보고 하면서, 틀림없이 다음에서 보내준 메일이라고 생각했던 것 같다.

하지만, 생각없이 암호를 바꾸기 위해 저 링크를 클릭하고 암호를 변경하려 원래 암호를 입력하면, 바로 암호가 그들의 수중에 들어가게 되겠지.

두번째 캡쳐에는 헤더보기한 화면이다. 되돌아 생각하니 헤더도 좀 이상하다. cafe24 가 왠 말인가.

마지막 캡쳐는 받은편지함의 이메일 리스트들. 난 보통 보낸이 이름에 마우스를 가져다 놓고 누구한테 온 것인지를 먼저 확인하는데, web-master@mail.hanmail.net 은 매우 정상적으로 보이는 메일주소다. 그러나, 다른 메일로 온 정상적인 메일을 확인하니 정상적인 다음 고객센터 메일은 web-master@daum.net 인 것 같다. (메일주소는 얼마든지 조작할 수 있으므로, 이것으로 안심하면 안 되겠지만,)

결정적으로 피싱을 확인한 것은 구체적으로 어떤 스팸활동이 있었는지에 대해 물어보는 답장을 보냈는데, 전송이 실패하면서 알아차리고, 좀 더 세심하게 확인하게 되었다. 

다행인 것은, 암호 변경시에 메일에 있는 링크를 클릭하여 하지 않고, 다음 첫화면에서 메뉴를 찾아 진행했던 것. 

항상 조심하자. 조심하자.

그리고, 이 건에 대해서 다음 정보보호 쪽에 신고를 하고 싶었으나, 피싱메일에 대한 신고를 받는 시스템이 없는 것 같다. gmail 의 경우에는 메일 자체에 피싱메일신고 메뉴가 바로 붙어 있다. 다음카카오도 피싱메일신고 기능을 메일에 추가해 줬으면 좋겠다.

---

- http://hummingbird.tistory.com/6479 : 보안관련 블로그 울지않는벌새 운영자의 분석

- http://www.makewebsitetoday.com/how-my-dreamhost-hosting-account-almost-got-hacked/ : 드림호스트라는 외국계 호스팅업체의 공식메일로 위장하는 피싱메일에 대한 포스팅. 수법이 동일하다. 또한 유도하는 사이트도 wkpc.net 으로 동일하다.