텔레그램 계정 탈취하는 스미싱 캠페인 주의
텔레그램(Telegram) 국내 사용자는 올해 기준 300만 명에 달한다. 국내 텔레그램 사용자가 급증한 만큼, 사이버 공격자들도 적극적으로 텔레그램 계정 탈취를 시도하고 있다. 텔레그램 계정이 탈취되면 개인정보나 텔레그램에서 나눈 대화 내용 등 다양한 정보가 유출될 수 있어, 각별한 주의가 필요하다. 안랩 모바일 분석 팀은 공격자가 텔레그램 계정을 탈취하는 방법 하나로, 2023년부터 현재까지 지속 중인 스미싱 캠페인을 제시했다. 이번 글에서는 스미싱(Smishing)을 통한 텔레그램 계정 탈취 과정을 살펴본다.
올 8월 해당 캠페인은 [그림 1]과 같이 사용자에게 “텔레그램 정책을 위반했으므로 링크를 통해 재로그인을 시도하라”는 문구의 문자 메시지를 전송한 사례가 확인됐다.
[그림 1] 텔레그램 정책 위반 스미싱 문자
사용자는 메시지 본문의 사이트 링크를 클릭하면 실제 텔레그램과 유사한 사이트로 리디렉션된다. 접속한 사이트 주소의 도메인은 [그림 2]처럼 스펠링이 텔레그램과 유사한 ‘taiegram’으로 돼 있다.
[그림 2] 공식 텔레그램 사이트(좌)와 피싱 사이트(우) 비교
피싱 사이트에서는 사용자 국가와 휴대폰 번호를 요구한다. 사용자가 휴대폰 번호를 입력하면 기존에 설치된 텔레그램 내 로그인 코드가 자동으로 발송된다. 피싱 사이트에서는 전송된 로그인 코드를 입력하라고 요구한다.
[그림 3] 텔레그램 앱 내 요청된 로그인 코드(좌)와 피싱 사이트 화면(우)
사용자가 입력한 로그인 코드는 공격자에게 전송되며, 이때 사용자의 텔레그램 계정이 탈취된다. 이를 통해 사용자는 개인정보 및 대화 내용 유출과 같은 2차적인 피해를 입을 수 있다.
공격자가 발송하는 스미싱 문자는 ‘정책 위반’외에도 ‘보안 위험 발생’, ‘계정 재인증 필요’, ‘업데이트 필요’ 등 다양한 문구를 사용해 사용자의 피싱 사이트 접속을 유도한다. 사용자는 이 같은 스미싱 사례의 심각성을 인지하고, 텔레그램에 2차 인증을 적용하는 등 별도 보안 조치를 마련해야 한다.
출처 : AhnLab