0. 사건개요
거래처 인보이스 메일 계좌정보가 변경되어 회신을 요구하는 발신자 위장 악성메일 발송
이에대하여 메일 분석 실시
분석 요약 : 메일 헤더 수집 > 발신지 확인 > 위장 회신 주소 확인
1. 이메일 헤더 수집(아웃룩) - 파일 > 정보 > 속성 > 인터넷 머릿글 복사
2. 이메일 헤더사이트 접속 및 붙여넣기( https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx)
Email Header Analyzer, RFC822 Parser - MxToolbox
mxtoolbox.com
3. 분석 결과 확인(발송지가 원래 보내는 사람의 도메인인지 확인한다)
사내망 메일 서버를 이용한다변 발송 지가 사내망으로 부터 발송된 메일인지 확인한다.
4. 분석 결과 확인(실제 발송자와 회신인(공격자)이 일치하는지 확인)
중간에 X-Sender 와 같이 메일을 주고받는 자와 관계없는 메일주소가 있는지 확인한다.
5. 분석결과
해당 메일은 사내 메일로 발송된 메일이아니다.
회신 받는 자의 메일 주소가 다르다