0. 사건개요
거래처 인보이스 메일 계좌정보가 변경되어 회신을 요구하는 발신자 위장 악성메일 발송
이에대하여 메일 분석 실시
분석 요약 : 메일 헤더 수집 > 발신지 확인 > 위장 회신 주소 확인
1. 이메일 헤더 수집(아웃룩) - 파일 > 정보 > 속성 > 인터넷 머릿글 복사
2. 이메일 헤더사이트 접속 및 붙여넣기( https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx)
3. 분석 결과 확인(발송지가 원래 보내는 사람의 도메인인지 확인한다)
사내망 메일 서버를 이용한다변 발송 지가 사내망으로 부터 발송된 메일인지 확인한다.
4. 분석 결과 확인(실제 발송자와 회신인(공격자)이 일치하는지 확인)
중간에 X-Sender 와 같이 메일을 주고받는 자와 관계없는 메일주소가 있는지 확인한다.
5. 분석결과
해당 메일은 사내 메일로 발송된 메일이아니다.
회신 받는 자의 메일 주소가 다르다