Akamai Diversity

Akamai 블로그

Google 번역과 Facebook을 이용한 피싱 공격

피싱 공격을 일으키는 범죄자는 공격이 정상적으로 보이도록 많은 노력을 기울이고 피해자가 자신이 원하는 행동을 하도록 유도합니다. 이번 포스트에서는 개인적으로 최근에 겪은 피싱 공격에 대해 자세히 살펴보겠습니다. Google Translate를 이용해 한 번에 여러 계정을 표적으로 삼은 이 피싱 공격은 매우 흥미로웠습니다. 

새해 연휴가 지나고 얼마 되지 않아 저는 새로운 Windows 디바이스에서 제 Google 계정에 접속했다고 알려주는 이메일을 휴대폰으로 받았습니다. 새로운 디바이스를 통해 로그인한 적이 없었기 때문에 이메일을 자세히 살펴보기로 결정했습니다.

저는 노트북으로 Gmail 계정에 로그인했고 발신인 주소를 보고 제 생각이 맞다는 것을 확인했습니다. 한 가지 흥미로운 점은 제 휴대폰에서는 메시지가 요약된 상태로 보이기 때문에 훨씬 그럴싸하게 보였다는 것입니다. 이메일은 완전한 속임수였습니다. 한 가지 흥미로운 점은 제 휴대폰에서는 메시지가 요약된 상태로 보이기 때문에 훨씬 그럴싸하게 보였다는 것입니다.

 

 

랜덤 이메일 (Random Emails)

1월 7일에 받은 메시지는 상당히 간단했습니다. 새로운 디바이스로 제 Google 계정에 접속했다는 알림 메시지였습니다. 모바일 디바이스로 요약된 메시지를 봤을 때에는 아무런 문제가 없어 보였지만 컴퓨터로 전체 메시지를 봤을 때에는 몇 가지 문제가 눈에 들어왔습니다. 

첫째, Hotmail 계정에서 보안 알림 메시지를 보냈습니다. 둘째, 전체 주소가 Google과 전혀 관련이 없었습니다. 'facebook_secur'을 사용하면 모바일 사용자가 Facebook의 보안팀이 메세지를 보냈다고 추측할 수도 있습니다.

잘 알려진 브랜드 이름을 활용하는 것은 일반적인 피싱 기법입니다. 피해자가 주의를 기울이지 않거나 인지하지 못한 경우 효과를 거둘 수 있습니다. 피싱공격을 일으키는 범죄자들은 사람들의 두려움, 호기심, 가짜 기관을 이용합니다. 희생자들이 먼저 조치를 취한 다음에 상황을 의심하게 만들기 위해서입니다. 피싱 공격의 희생자들은 이것이 사기라는 것을 알아챌 수 있는 세부사항에 주의를 기울이지 않을 수도 있습니다. 제 경우에는 공격자가 호기심과 두려움을 적절하게 섞어 사용했습니다. 바로 제 계정이 유출되었다는 두려움과 누가 유출했는지에 대한 호기심이었습니다.

 

공격 (The Attack)

이메일에 포함된 'Consult the activity' 링크를 클릭하자 다음 페이지로 연결되었습니다.

 

 

링크를 클릭하자 위 이미지와 같은 페이지가 표시되었습니다. 이 페이지는 랜딩 페이지입니다. 이 피싱 공격을 일으킨 범죄자는 Google Translate를 통해 악성 도메인을 로딩하고 있었고 랜딩 페이지를 흥미로운 방식으로 사용하고 있었습니다.

Google Translate를 사용하면 URL(주소) 바를 랜덤 텍스트로 채울 수 있을 뿐만 아니라 무엇보다 가장 중요한 것은 피해자가 시각적으로 정상적인 Google 도메인을 보게 됩니다. 이 기법은 엔드포인트 방어 체계를 우회하는데 도움이 됩니다.

하지만 이런 방법은 랜딩 페이지가 Google의 예전 로그인 포탈과 거의 동일하게 보이는 모바일 디바이스에서는 효과적이지만 컴퓨터로 봤을 때에는 전혀 효과적이지 않습니다. 

이 공격에 사용된 전체 주소가 아래 이미지에 나와 있습니다.

 

참고 : Akamai의 ETP(Enterprise Threat Protector)를 사용하는 고객은 이 URL이 당사 시스템에 이미 존재하기 때문에 안전하게 보호됩니다. 해당 도메인은 피싱 공격에 사용할 수 있도록 감염된 상태였습니다.

이미지를 보면 'mediacity' 도메인이 번역되는 것을 확인할 수 있는데, 이는 즉각적인 경고 신호로 받아들여져야 합니다. 대부분의 사람들은 이 지점에서 공격을 회피할 수 있습니다. 가짜 로그인 페이지를 알아차리고 인증정보를 입력하지 않게 됩니다. 하지만 이 공격에 속은 사람들은 사용자 이름과 패스워드를 입력합니다. 이렇게 수집된 인증정보는 공격자에게 이메일로 전송되고 2차 공격으로 넘어가게 됩니다. 

 

2차 공격 (A Second Attack)

피해자의 인증정보가 공격자에게 전송되면 재미있는 일이 일어납니다. 바로 2차 피싱 공격이 시작되는 것입니다. 공격자들의 피해자들의 Google 인증정보를 탈취하는데서 멈추지 않고 2차 공격을 시도합니다. 바로 이들에게 가짜 Facebook 모바일 로그인 포탈 페이지를 전송하는 겁니다. 



Google 이메일과 랜딩 페이지가 모바일 사용자에 중점을 두고 있기 때문에 후속 공격이 성공할 확률은 매우 높습니다. 하지만 Google 페이지처럼 Facebook 랜딩 페이지도 이전 버전의 모바일 로그인 양식을 사용합니다. 이는 키트가 오래 되었고 지하 세계에서 일반적으로 판매 및 거래되는 키트일 가능성이 높다는 것을 의미합니다. 

Facebook 랜딩 페이지를 호스팅하는 도메인과 Google 랜딩 페이지를 호스팅하는 도메인은 다르지만, 두 도메인은 공격자가 사용하는 스크립트를 통해 연결되어 있습니다. 이 스크립트가 어떤 형태인지 알려드리기 위해 아래 이미지와 같이 이와 유사한 키트의 소스 코드를 알려드립니다. 



이 공격에서 Google 인증정보가 기록되고 공격자에게 이메일로 전송되면 위의 스크립트가 적절한 메시지 포맷을 만들어서 피해자에게 Facebook 랜딩 페이지를 전송합니다. 이 이메일의 한 가지 사례를 Akamai 랩 시스템을 통해 다음 그림과 같이 알려드립니다. 


 

이메일은 피해자의 사용자 이름과 비밀번호는 물론 IP 주소, 브라우저 종류 등 여러 정보를 기록합니다. 여러 수준의 PII와 위치 정보를 수집하는 피싱 키트도 있습니다. 이런 정보는 크리덴셜 스터핑 공격 또는 추가적인 피싱 공격을 위해 판매됩니다. 

모바일 디바이스에서 정상적으로 보이게 만들기 위해 Google Translate을 사용하는 기법이 자주 발생하는 것은 아닙니다. 하지만 동일한 세션에서 2개의 브랜드를 동시에 공격하는 것은 매우 드문 일입니다. 한 가지 흥미로운 점은 공격을 일으키는 사람 또는 적어도 Facebook 랜딩 페이지를 만든 사람이 피싱 공격에 속았을 경우 피해자가 랜딩하게 되는 실제 Facebook 계정과 연결했다는 것입니다. 

일부 피싱 공격은 다른 공격보다 정교합니다. 이 공격은 모바일 디바이스에서 메시지를 본 후에 컴퓨터에서 메시지를 다시 확인했을 때 쉽게 발각됐습니다. 하지만 더 교묘한 다른 공격은 매일 수천 명의 사람들, 심지어 IT 및 보안 전문가까지 속이고 있습니다.

어떤 행동을 하기 전에 시간을 갖고 메시지를 전체적으로 확인해야 합니다. 여러분이 예상한 주소에서 메시지가 전송되었나요? 메시지가 호기심, 긴박감, 두려움을 조성하거나 거의 즉각적인 행동을 요구하나요?

그렇다면 이는 의심스러운 메시지이며 계정 탈취로 이어질 가능성이 높습니다.

추가적인 연구 및 기술 세부 정보는 스티브 레이건(Steve Ragan)이 제공함

1 Comment

아카마이블러그 잘보고갑니다. 유익한정보 감사드립니다.

Leave a comment (코멘트 남기기)