협박 메일 수신시 확인 방법.

#Daily Writing

  갑자기 내가 사용하는 메일 주소로 내가 직접 보낸 메일이 왔습니다. 내용은 아래와 같이 해커가 나의 PC를 해킹했고 내 PC를 통해서 메일을 보냈다는 내용입니다. 거기에 내 PC에 설치한 악성 코드를 설치해서 카메라와 마이크를 통해 당신의 행동을 감시하고 있고, 만약 150만원 정도의 돈을 비트코인으로 보내지 않는다면 영상을 배포하겠다고 합니다.

  요즘에 유행하는 피싱 형태의 메일입니다. 전화로 당신이 저녁에 무엇을 했는지 알고 있으니 돈을 보내라고 하는 협박과 마찬가지로 아래 메일도 동일한 형태 입니다. 처음 받으시는 분들 그리고 관련 지식이 충분치 않을 경우에는 당황하게 됩니다. 

  그렇다면 한번 아래의 협박 메일을 한번 알아 보도록 하겠습니다. (분석이란 단어를 사용할 필요 없이 아주 간단하게 알아 낼수 있습니다.)

---

메일 본문

안녕하세요!

최근에 제가 당신의 계정에서 이메일을 보낸 것을 눈치챘나요?

그렇죠, 간단히 얘기하면 제가 당신의 기기에 완전히 액세스할 수 있다는 것을 의미합니다.

지난 몇 달 동안 당신을 지켜봤어요.***

*** 컴퓨터 내부의 모든 프로세스와 활동을 모니터링하고 브라우저 기록에 액세스했습니다.

어떻게 가능한지 아직도 궁금해요? 글쎄요, 당신이 접속한 성인 웹 사이트의 악성 프로그램 때문에 감염되었습니다. 잘 모르시겠지만 제가 설명해 드릴게요.

트로이 목마 바이러스를 이용하여 PC 또는 다른 장치에 완전히 액세스할 수 있습니다.

당신이 알아차리지도 못하게 카메라와 마이크를 켜기만 하면 언제든지 제가 당신의 화면에서 볼 수 있다는 것을 의미합니다. 또한 연락처 목록과 모든 이메일에 액세스할 수 있습니다.

당신은 본인에게 질문할 수도 있습니다. "하지만 제 PC에는 바이러스 백신 프로그램이 있습니다. 어떻게 이것이 가능할까요? 왜 아무런 통보도 받지 못했지요?" 대답은 간단합니다.

멀웨어는 드라이버를 사용하여 4시간마다 서명을 업데이트하여 탐지할 수 없도록 하여 따라서 바이러스 백신도 계속 차단합니다.

왼쪽 화면과 오른쪽 화면 – XXXX 하는 영상입니다.

얼마나 X같을까요? 마우스를 한 번만 클릭하면 모든 소셜 네트워크와 전자 메일 연락처로 동영상을 보낼 수 있습니다.

저는 또한 당신이 사용하는 모든 이메일 목록 및 메신저에 대한 접근 권한을 공유할 수 있습니다..

이런 일이 발생하지 않도록 하려면 1350달러 상당의 비트코인을 제 비트코인 주소로 전송하기만 하면 됩니다 (방법을 모른다면 브라우저를 열고 이와 같이 검색하세요: “비트코인 구매”).

저의 비트코인 주소는 (BTC Wallet) 입니다: 1PNNiyhHbF8wZAh53uL9fFJw2uYrwL4xnA

결제가 확인 되는 즉시, 바로 동영상을 삭제해드리도록 하겠습니다. 이게 전부입니다, 다시는 연락하지 않을 겁니다.

해당 거래를 완료하는데 2일(48시간)을 드립니다.

이 이메일을 열면 알림 메시지가 전송되고 카운트다운이 시작됩니다.

제 비트코인 아이디와 이메일은 추적할 수 없기 때문에 항의 하려해도 아무런 결과가 없을 것입니다.

저는 이 문제에 대해 아주 오랫동안 연구해 왔습니다; 실수할 가능성은 전혀 없습니다.

혹시라도 이 메시지를 다른 사람과 공유한 것을 알게 된다면, 위에서 언급한 대로 동영상을 널리 반포하겠습니다.

---

간단하게 알아봅시다.

  먼저 알아보기 전에 간단하게 메일의 본문이 필요합니다. 웹메일을 사용중이라면 메일 "메일 원문 보기" 기능을 이용하여 메일 원문을 먼저 확보한다. 그리고 위의 해커가 보낸 메일 내용을 확인해 봅시다.

1. 최근에 제가 당신의 계정에서 이메일을 보낸 것을 눈치챘나요?

 내가 사용하는 웹메일혹은 회사 메일인  abc@example.com이 보낸 사람이 되어 있습니다.

From: <abc@example.com> 

To: <abc@example.com>

  "이런 ~~! 메일을 정말 내가 보낸거네요.." 라고 생각할수 있습니다만.. 메일의 보낸이는 변경이 가능합니다.

2. 그렇죠, 간단히 얘기하면 제가 당신의 기기에 완전히 액세스할 수 있다는 것을 의미합니다.

  해커가 제 PC에서 메일을 보냈다고 한다면 보낸 사람의 IP 주소가 제 PC로 남아 있어야 하겠죠.. 그럼 보낸 사람의 IP주소를 확인합니다.

  

Received: from [188.251.255.65]

   IP가 조금 이상합니다. 그럼 위의 IP가 어느나라인지 한번 확인합니다. 인터넷에서 whois 정보 조회에서 IP를 조회해 봅니다. 

role:           MEO-RESIDENCIAL

org:            ORG-TCIS1-RIPE

address:        Local Internet Registry Management

address:        MEO - SERVICOS DE COMUNICACOES E MULTIMEDIA S.A.

address:        Av. Fontes Pereira de Melo, 40 - 3 Bl A

address:        Forum Picoas - 1069-300 Lisboa

address:        Portugal

  IP는 포르투칼 주소입니다.  지금 메일을 받은 사람이 포르투칼에 살고 있지 않다면.. 해커가 메일을 보낼때 포르투칼에서 보낸걸로 알 수 있습니다.

  추가로 한가지 더 ...

------=_NextPart_000_001B_01D6B2FF.0629C97D

Content-Type: text/plain;

charset="euc-jp"

Content-Transfer-Encoding: quoted-printable

 메일이 보낸 캐릭터셋 (메일을 작성한 언어)이 "euc-jp"로 되어 있습니다. 일반적으로 우리가 사용하는 PC의 언어는 "EUC-KR", "UTF-8" 등으로 되어 있습니다. 메일이 작성된게 위의 두가지 정보를 통해서 내 PC가 아니라는것을 알수 있습니다. 만약 의심이 된다면 직접 메일을 보내 보면 됩니다. ( 웹 메일인 다음,네이버 등으로 왔다면 다음에서 다음으로 메일을 보내 보고 메일의 원문을 확인해 보면 다르다는 것을 알수 있습니다. 회사나 SMTP를 이용하는 경우에도 마찬가지로 테스트 해봅니다.)

  Ex. 모 포털사에서 내게쓰기 기능으로 보낸 메일의 원문

Date: Sun, 8 Nov 2020 11:38:55 +0900 (KST) 

From:  <abc@example.com> 

To: <abc@example.com> 

Subject: TEST 

Content-Type: text/html; charset=UTF-8 

X-Originating-IP: [122.35.211.107]

  아주 간단한 메일 본문에 한국 IP이고 캐릭터셋도 UTF-8로 되어 있습니다.

  이를 통해서 메일은 공격자가 보낸이를 위조해서 보낸 가짜 메일이라는 것이 확인 되었습니다. 다만 메일은 변조된 허위 메일이지만 실제로 PC에 악성코드를 설치해서 PC를 제어하는 것은 가능한 일이고 백신에 탐지되지 않을수도 있습니다만 그런 경우는 흔치 않습니다. 그러므로 PC에 반드시 백신을 설치하고 백신으로 한번 검사해 봅니다. 그리고 화상회의용 카메라가 있다면 카메라는 스티커로 가려두는것도 좋습니다.

요약

% 꼭 읽어야 할 필요가 없는 출처가 불분명한 메일이 왔을때에는 꼭 삭제합니다. 특히 첨부 파일이 있는 경우에는 문서 파일일지라도 삭제하고 열람하지 않습니다.

% 위와 같은 상황이 의심될때에는 메일의 원문을 열어서 위의 내용을 확인해 봅니다.

% PC의 백신은 반드시 설치합니다.

% 메일 서비스를 사용할때에는 다음/네이버/구글 같은 신뢰도가 있는 회사의 메일을 사용한다. (보통 저런 메일은 차단 되거나 스팸함으로 들어가 있을겁니다.)

마무리.. : 정말 본인의 PC가 해킹 되었고 위의 내용이 사실이라면 해커는 모든것을 알수 있는데 왜 저런 메일을 보내겠는가를 생각해보면 답이지 않을까요 ?  

% 위의 내용은 특정 이익집단을 대변하지 않습니다.