스팸 문자/전화 확인방법, 그래도 안심할 수 없는 이유
하루다 멀다하고 스팸전화가 오고 스팸문자가 온다. 더구나 문자메시지의 경우는 URL을 함께 보내서 터치하게 되면 바로 스마트폰에 악성코드가 심어지거나 개인 정보를 빼내게는 피싱(phishing)을 당할 수도 있다.
특히 문자메시지의 내용을 꼭 필요한 생활형으로 보내는 경우가 많아서 나이드신 부모님의 겨우 스팸 메일에 현혹되기 쉬워서 더욱 주의가 필요하다.
피싱(phishing)을 위한 스팸 문자 도착
어제(2월 18일 오전 11시 13분) 문자 한통을 받았고 내용은 한진택배에서 주소 불명으로 보내지 못한 것이 있다는 것이었다. 별 생각없이 문자에 기재된 URL을 터치하려다가 보낸 사람의 전화번호를 보니 '010..'으로 시작하는 이동통신 번호였다. '한진택배'가 개인 핸드폰번호로 문자를 보냈다? 좀 이상한 생각이 들어서 조사에 들어갔다.
문자메시지의 'https://goo.gl/dcVbWS'는 실제 URL을 '구글 단축 URL' 서비스를 이용해서 짧게 만든 것이다. 이 url은 PC에서 클릭하면 해당 택배 앱 다운로드로 이동한다. 혹시라도 URL이 공개되었을 때 발견을 어렵게 하기 위한 것으로 보인다. 하지만, 스마트폰 등 모바일 화면에서 클릭하면 피싱 사이트로 이동하게 된다.
피싱 URL은 얼마나 걸려들었을까? 클릭 현황 확인
- 단축 URL의 분석 현황 보기 >> https://goo.gl/dcVbWS+
'https://goo.gl/dcVbWS' URL의 실제 주소는 무엇일까? 방법은 간단하다. 구글 단축 URL은 뒤에 '+'를 붙여주면 해당 단축 URL 의 분석 현황을 볼 수 있는 페이지로 이동하게 된다.
'구글 단축 URL' 서비스에서 해당 URL의 이용 정보를 확인해 보았다. 이 정보는 누구가 확인이 가능하며, 'bit.ly'에서 만든 단축 URL도 같은 방식으로 분석 정보를 확인할 수 있다.
해당 피싱 URL의 클릭은 총 319회가 있었다. 이 중에서 몇명이 실제 피해를 입었는지는 알 수 없다. 이런 불법적인 수법이 엄청나게 일어나고 있다는 것을 생각하면 그 심각성은 상상을 초월할 것이다.
차트 우측 상단의 Timeframe 을 week로 변경하고보니, 2017년 2월 18일 오전 11시에 244회의 클릭이 있었다. 이 때 스팸 문자를 발송한 것으로 보이고 대부분 받은 즉시 해당 URL을 클릭한 것으로 보인다. 그리고, 같은날 오후 5시에 2회의 클릭이 있었고 그 후로는 거의 이용이 없었다.
이것으로보면 스팸 문자는 발송 후 하루 이내에 생명력을 다한다는 것을 알 수 있다.
해당 URL의 접속 정보를 보니 98.4%인 거의 대부분이 알수 없는 곳(unknown)에서 접속했다. 문자메시지를 클릭해서 접속했으니 접속한 곳을 알 수 없다는 것은 당연하다. 네이버 모바일과 구글을 통해서 아주 적은 접속이 있었지만 이것은 이 작업을 한 사람 또는 나 같은 사람이 접속한 것일 거다.
접속한 웹브라우저는 크롬 214회, , 사파리 48회, 모바일 사파리 30회, 삼성스마트폰 브라우저 25회 등이다. 문자를 클릭한 후 해당 스마트폰에서 주로 사용하는 웹브라우저를 통해서 접속을 한 것이다.
접속 국가를 보면 한국 231회, 일본 4회, 필리필 1회로 나타난다. 국내 사용자를 타깃으로 문자를 보낸 것이고, 일부 해외에 거주하는 사람 일부가 클릭한 것이다. 접속 플랫폼은 스마트폰의 운영체제를 보여주는 것이다.
스팸문자의 피싱 URL 도메인네임 확인, 정상이 아니다!!
해당 단축 URL의 분석 현황에 들어가보니 실제 주소는 'oapsk.szwra.com'로 파악된다. 해당 주소의 도메인네임 'szwra.com'의 정보를 확인해보니 이상한 점이 많아 보인다. (KISA 한국인터넷진흥원 WHOIS 조회)
- Domain Name: szwra.com
- Registrar URL: http://www.oray.com
- Updated Date: 2017-02-17T12:21:08Z
- Creation Date: 2017-02-17T12:21:08Z
- Registrar: SHANGHAI BEST ORAY INFORMATION S&T CO., LTD.
- Registrant Name: Gui FanSuiaa
- Registrant Organization: Gui FanSuiaa
- Registrant Street: DanFaGuoGuoJiaHeJingJi
- Registrant City: TangShanShi
- Registrant State/Province: HeBeiSheng
- Registrant Postal Code: 100000
- Registrant Country: KP
- Registrant Phone: +82.1023659863
- Registrant Fax: +82.1023659863
- Registrant Email: aa@a.com
'szwra.com' 도메인네임 정보를 보면 2017년 02월 17일에 'SHANGHAI BEST ORAY INFORMATION S&T'라는 중국 도메인등록 회사(바로가기)를 통해서 구매했다는 것을 알 수 있다. 위 문자메시지를 받은 시간이 2017년 2월 18일 11시 13분이니 도메인네임을 구매한 후 바로 작업을 시작한 듯 하다.
그런데, 등록자 이름(Registrant Name), 등록자 주소(Registrant Postal Code, State/Province, City, Street) 등이 정상이 아닌 것으로 보이고, 도메인 등록자의 국가가 'KP'로 북한이라는 것도 이상하다. 특히 도메인 등록자는 도메인네임에 문제가 있을 때 Registrar에서 보내오는 메일을 받아야 하기 때문에 이메일은 무엇보다 정확히 등록하는데 'szwra.com' 도메인의 등록자 이메일(Registrant Email)에는 'aa@a.com'으로 해 두었다.
여러 정황을 볼 때 해당 도메인은 스팸 메일을 보내거나 피싱을 위해 며칠 전 등록한 것으로 판단된다.
스팸문자, 스팸 전화번호 확인하는 방법
위 스팸 문자가 도착하자마자 내 스마트폰에 깔려 있는 '스마트 택배' 앱이 반응하여 해당 문자를 '위험 메시지'라고 경고를 해 준다. '스마트 택배' 앱은 택배 정보를 파싱해서 서비스를 제공하는 것이고, 해당 문자를 분석해서 정보를 제공하는 것이다.
해당 문자의 피싱 URL을 클릭하니 내가 사용중인 이동통신사인 SK텔레콤에서 해당 URL의 사이트가 '악성앱 설치를 유도하는 사이트'라며 접속을 차단한다.
피싱 또는 스미싱 등의 피해가 워낙 크다보니 이젠 자동 차단 기능이 다양한 곳에 적용이 되어 도움을 주고 있다.
'스팸 전화번호 데이터베이스' 서비스에 접속하면 전화번호를 입력하는 칸이 보인다. 의심되는 전화번호를 입력하면 해당 번호에 문제가 있는 지 확인해준다.
단, 반드시 주의해야 할 점이 있다. 스패머가 사용하는 전화번호는 위조될 수 있다. 스패머들은 꼭 자신의 전화번호로 문자를 보내지 않으므로 멀쩡한 전화번호가 스팸 전화번호로 등록되어 고생을 하는 분들이 있을 수 있다.
내가 받은 전화번호를 조사해보면 역시나 정상적인 번호로 나타났다. 내가, 내 부모님이, 친구가 해당 번호로 이용될 수 있고, 이것에 대한 해결 방법은 뽀족히 없다는 것이 불안하기도 하다.