페덱스(FedEx) 사칭 랜섬웨어 메일을 받은 후 취한 행동

국제항공특송회사 페덱스

 

 

랜섬웨어가 전 세계적으로 기승을 부리고 있다.

 

'랜섬웨어'는 기존 '바이러스'처럼 운영체제를 파괴하거나 소프트웨어를 망가뜨리거나

과도한 트래픽으로 인터넷을 사용불능으로 만드는 등 PC를 사용불능으로 만들지는 않는다.

 

단지, 사용자가 만들고 저장한 파일들(사진, 문서, 메일, 음악, 영상 등 개인의 디지털 추억 등)을 암호화시켜

다시 열어보지 못하도록, 즉 디지털 치매 상태로 만들어 버린 후

복구하려면 '돈을 내라'고 하는 디지털 공갈 행태를 말한다.

 

필자도 관련해 얼마 전 페덱스 사칭 메일을 받았는 데
여러가지 기술적 조치를 취하기 전에 몇 가지 합리적 의심만으로도
'페이크 메일'이라는 것을 알 수 있었고 피해를 막을 수 있었다.

 

 

 

 

 

메일 내용은 그림과 같다.

 

 

지난 22일 새벽, 업무상 메일함을 열어두고 실제 업무를 보던 중
실시간으로 '띵동~' 하며 새 메일이 왔음을 알렸다.

 

페덱스에서 '배송관련 안내'라는 생뚱맞은(?) 메일 제목을 하고 있어
잠시 업무를 멈추고 마우스를 살포시 제목에 올려 미리보기를 해 보았다.

 

 

 

첨부파일은 .egg로 된 압축파일이며,
압축을 풀면 '영수증.jpg', '배송증.jpg', '페덱스지점안내.doc'
이렇게 3개의 파일이 나온다.

 

 

즉 "페덱스를 통해 배송될 물건이 있었는 데 부득이한 사정으로 배송 못했으니

직접 첨부된 '영수증'과 '배송증'을 프린트한 후 가까운 사무소에 들러 찾아가시오"라는 내용이다.

◈잠깐 사이에 들었던 합리적 의심

 

1. 페덱스는 '국제항공특송회사'이다. 무역 관련 업무에 종사하지 않고, 해외직구등 내가 인지하지 못한 상태에서 해외에서 물건이 올 일이 없는 나로서는 생뚱맞기 그지없다.

 

2. 명색이 세계적인 배송업체인데 서울 한복판 대로변 사무실에 하루에도 여러 번 국내 배송업체가 방문하는 곳을 무슨 부득이한 사정이길래 배송 못했다는 것인지 '그 부득이한 사정'이 더 궁금하다.

 

3. '페덱스 서포트 팀'이라는 공식 업무용 메일인데 'fedex.com'이 아닌 'gmail'을 사용하고 있다.

 

4. 메일주소에서 '보낸이'도 의미를 전혀 알 수 없는 말 그대로 아무글자이다.

 

5. 메일 내용의 '주문번호 HD_74.....'로는 페덱스 사이트 내 추적/검색기능으로 어떤 정보도 알 수 없다.

 

6. 페덱스 사무실은 서울에 단 4개, 전국적으로 10여 개에 불과한 데, 내용상 정확히 어느 사무소에 가라고 안내되어 있지 않고, 그냥 가장 가까운 사무소에 가서 찾으란다. 무슨 대선 사전투표하러 가라는 건가?

 

7. 압축파일이 'EGG'로 되어있다. 'EGG'확장자는 국내 '이스트소프트'사의 '알집'이라는 압축프로그램의, 그것도 '알집' 전용 확장자이다. 압축파일의 경우 통상 호환성이 우수한 'ZIP'을 사용하고, 대용량 파일의 분할압축 등 특별한 경우에만 EGG를 사용하는 경우가 대부분일 것이다. 국제배송회사가 국산 압축프로그램인 '알집'을 사용한 것이 이해되지 않았다. 국내에서 내국인이 했다해도 'ZIP'이 아닌 'EGG'로 할 이유는 없어 보인다.

 

8. 메일 내용대로라면 EGG가 어떤 압축파일인 지 모를 경우 따로 알아봐야되고, '알집'을 내려 받아 설치해야 하고, 프린터가 없다면 사무실이나 문구사등 프린트 서비스를 받아서(추가로 이용료를 내고) 출력을 한 후, 교통편을 이용하여(추가로 요금을 내고) 사무실로 찾아오라는 것인데, 에잉~

 

9. 페덱스 사이트에 이미 메일 사칭 관련 주의하라는 공지가 나와 있다. 그렇군.

 

 

'페덱스'는 사칭 메일을 주의하라는 공지를 하고 있다.

 

 

아뭏든 잠깐 사이에 알아본 여러 정보들의 취합으로 해당 메일은 클릭하지 않고 그대로 무시했다.
정말 페덱스에서 온 것이라면 전화나 문자로 다시 연락이 왔을 것이다.

 

며칠 뒤 '페덱스 사칭 랜섬웨어(오토크립터)를 주의하세요'라는 뉴스가 나왔다.
피해사례도 나왔다는 군.

 

'운송장.JPG', '배송증.JPG'는 이미지 파일이 아니라 '페덱스지점안내.doc'로 연결된 단축 아이콘이고,

'페덱스지점안내.doc' 또한 워드 문서 파일이 아닌 '페덱스지점안내.EXE'라는 랜섬웨어 실행 파일이라는군.

 

즉 '운송장'이나 '배송증'을 확인/출력하려고 클릭하는 순간 랜섬웨어에 감염되는 상황이 발생하게 되는 것이니

이 글을 보시는 분들은 주의하시기 바란다.

 

※자세한 내용 - 알약 공식 블로그
http://blog.alyac.co.kr/1117