일본피싱대책협의회에서 발표한 2024년 5월 피싱 신고 현황 보고서에 따르면 2024년 5월 피싱 신고건수는 143,680건으로, 2024년 4월과 비교하면 36,923건 약 34.6% 증가하였다.
Amazon을 사칭한 피싱 신고가 급증하였고, 신고 건수 전체의 약 31.3%를 점하였다. 이어서 각 1만건 이상 신고를 받은 도쿄전력, 미쯔이스미토모카드, 이온카드, 에포스카드를 사칭한 피싱 신고를 합하면 전체의 약 73.6%를 점하였다. 또한 천건 이상의 대량 신고를 받은 회사명은 16개였고, 이들을 합하면 전체의 약 94.0%를 점하였다.
분야별 신고수 전체에 대한 비율은 신용카드 약 39.9%, EC 약 34.9%, 전력-가스-수도 약 12.8%, 금융 약3.6%, 관공서 약 2.6% 로서 EC분야의 브랜드의 비율이 급증하였다. 또한 전기-가스-수도와 금융, 관공서를 사칭한 피싱 신고가 급증해 그 외 분야는 대체로 감소 경향으로 나타났다.
피싱에 악용된 회사명은 91개로 나타났고, 신용카드가 21개 브랜드, 금융이 12개 브랜드, 통신사업자-메일사업자 10개 브랜드, 택배가 7개 브랜드, 온라인서비스 6개 브랜드, EC가 5개 브랜드로 나타났다.
SMS를 통한 피싱(스미싱)은 전월과 유사한 경향을 보였으며, 택배 관련 부재 통지로 가장한 문구를 통해 Apple을 사칭한 피싱 사이트로 유도하는 형태의 신고가 가장 많았다. 그 다음으로는 전력회사, 금융기관, 신용카드 회사를 사칭한 문구의 신고가 많았다.
2024년 5월 피싱 사이트 URL 건수는 38,089건으로, 2024년 4월과 비교해 1,774건 감소하였다.
신고전체 URL(중복포함)의 TLD(Top Level Domain)별로는 .com이 약 55.4%, 이어서 .cn 약 16.1%, .dev 약 8.0%, .ru 약 5.7%, .net 약 3.1%, .top 약 2.8% 이었고, 전월과 비교하여 .com 도메인명 및 .cn 도메인명의 악용이 급증 하였다. 전월은 감소한 .dev 도메인명의 악용이 다시 증가하였다. 중복을 제외한 URL에서는 .cn 도메인명의 서브도메인에 랜덤문자열을 사용하여, 피싱 메일에 기재한 ‘1회용’ 리다이렉트용 URL로써 사용하는 경우가 증가, 전체의 약 31.5%를 점하였다. 또한 클라우드 서비스에서 부여하는 서브 도메인명과 단축 URL 서비스, 리다이렉트 기능이 있는 서비스의 악용이 많은 상황이 지속되고 있다.
어느 조사용 메일 어드레스로 5월에 수신된 피싱 메일 중 약 53.4%가 실제 존재하는 서비스의 메일 어드레스(도메인명)을 발신인으로 사용한 ‘사칭’ 피싱 메일이었고, 작년 12월 이후, 감소 경향이었던 ‘사칭’ 송신이 급증하여, 반수 이상을 점하였다.
송신 도메인명 인증 기술 DMARC의 정책이 reject(인증실패 메일 수신거부) 또는 quarantine(인증실패 메일을 스팸 폴더로 격리)로서 필터링이 가능한 사칭 피싱 메일은 약 26.7%로 크게 증가하였지만, DMARC 정책이 none(인증실패한 메일을 통과시켜 수신) 또는 DMARC 대응이 안되는 도메인명의 사칭 피싱 메일도 약 26.7%로 증가 경향이었다.
독자 도메인명에 의한 비사칭 메일 배포는 약 46.6%로 감소 경향이었지만, 그 가운데 DMARC에 대응하여 인증성공(dmarc=pass)한 메일은 약 28.4%로 비 사칭 메일의 송신 도메인 인증에의 대응율이 올라가고 있다. 현 상황에서, 이용자에 대한 연락 수단으로서 메일을 보내는 사업자는 DMARC에의 대응이 거의 필수로 되어 있어, DMARC에 의한 발신 도메인명의 인증결과는 정상 메일인지 아닌지의 판단 기준의 하나가 되고 있다.
리버스 DNS 조회 포인터 레코더(PTR RECORD) 설정이 되어 있지 않은 IP 어드레스로부터의 송신이 약 86.8%로 증가하였다. 특히 대량 배포되는 부정 메일은 발신처에 PTR RECORD 설정이 되어 있지 않은 경우가 많으므로, 메일 서비스를 운용하고 있는 경우는 이러한 메일을 수신하지 않도록 해야 한다.
5월은 피싱 메일의 대량배포 및 배포 범위의 확대에 따라, 신고수가 급증하였다. 지금까지 피싱 메일을 받지 않았던 메일 주소로 최신 피싱 메일이 지속 수신되기 시작했다 라는 신고가 다수 접수되었다. 대량 데이터가 새롭게 누출되어 배포가 시작되었을 가능성이 있다.
EC 사이트를 사칭한 경우에는, 인증정보와 결제정보의 확인, 부정이용 통지 등의 내용을 사용한 피싱 신고가 접수되었다. 또한 4월에 이어, 전력회사를 사칭한 미납요금 청구, e-Tax(국세전자신고∙납세시스템)를 사칭한 피싱 신고가 많은 상황이다. 신용카드 이용 시 통지와 금액청구의 안내, 부정이용과 로그인 시도에 따른 이용제한의 통지와 본인확인요청, 온라인매거진 및 주의환기 등, 정상 메일을 모방한 내용과 동영상을 사용한 피싱 메일이 증가하였고, 송신 도메인 인증에 의한 정상 메일에만 표시되는 로고, 아이콘, 마크 등과 S/MIME에 의한 전사서명이 없는 경우 판단이 곤란해지고 있다.
또한, 메일 문구에 표시되지 않는 쓰레기 문자열과 정상 URL을 섞거나, 리다이렉트 기능을 가진 정상 서비스의 URL을 악용하여 피싱 메일에 삽입 URL로서 사용 또는 Unicode 문자열에 URL을 기재하는 등 탐지를 회피하려는 시도가 지속되고 있다.
5월에는 한동안 잠잠했던 회사명을 사칭한 피싱 메일이 확인되었다. 이러한 회사명에 대한 각각의 신고수는 적지만, 피해가 발생한 회사명은 그후에도 한동안 악용이 지속되는 경향이 있으므로 주의해야 한다.
피싱 이외에는 사업자로부터의 정상 메일을 피싱으로서 신고되는 경우가 늘고 있다. 또한 주문한 상품이 품절되어 환불을 위한 LINE 친구 추가 유도, 수상한 아르바이트 모집 신고도 증가하고 있고, 연락을 하면 수상한 앱 설치 유도, 환불이 아닌 역송금 요청 등의 피해가 발생할 수 있으므로 주의해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★