Cloudflare의 theNet

정상적인 서비스를 악용한 피싱 공격

악의적인 행위자들은 피싱 캠페인에서 신뢰할 수 있는 브랜드를 가장하여 메시지의 신뢰도를 높이는 경우가 많습니다. 실제로 피싱 시도의 51% 이상이 20대 글로벌 브랜드 중 하나를 가장했습니다. 최신 연구에 따르면 사이버 범죄자들은 더 이상 브랜드를 가장하는 데 그치지 않고 해당 브랜드의 합법적인 서비스를 활용하여 페이로드를 전달하는 등 그 수법을 더욱 강화하고 있습니다.

2023년 피싱 위협 보고서에 따르면 LinkedIn, Baidu 등의 브랜드에서 제공하는 정상적인 서비스를 악용하여 악성 링크를 보내는 피싱 이메일이 증가하고 있는 것으로 나타났습니다. 악의적인 행위자들은 이러한 서비스를 악의적 웹 사이트로의 리디렉션 수단으로 사용하여 사용자 자격 증명을 탈취하려고 시도해 왔습니다. Sendgrid와 같은 정상적인 이메일 전송 서비스를 이용하는 것도 여기에 포함됩니다.

이러한 캠페인에 사용된 미끼는 다양하지만, 피싱 시도의 대부분은 아래와 같은 이미지를 사용하여 DocuSign을 가장하고 있으며, 이 특정 사례에서는 공격자가 'Document shared for 552 Friday-August-2023 07:07 AM'이라는 제목의 이메일을 보냈습니다.

그림 1: DocuSign 가장 이메일에 사용된 PNG

앞서 설명한 바와 같이, 악의적 행위자는 중국의 유명 검색 엔진인 바이두로 하이퍼링크된 정상적으로 보이는 DocuSign 요청의 PNG 이미지를 사용했습니다.

hxxps://baidu[.]com/link?URL=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp HYUJ#targetemailaddress@domain.com

이는 다음으로 리디렉션 됩니다. hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281

발신자는 정상적인 비즈니스 도메인을 사용했는데, 이 도메인은 유출되었을 가능성이 있는 인도네시아의 배터리 회사로 보이는 @ciptaprimayoga.com입니다. 정상적인 도메인을 사용하므로 공격자는 완화 프로세스의 일부로 도메인의 나이, 즉 생성 날짜를 확인하는 보안 조치를 우회할 수 있습니다.


링크를 클릭하면 수신자의 회사가 URL 경로를 통해 자동으로 사용자 지정된 Microsoft 로그인 페이지에 표시됩니다.

Cloudflare에서는 연구의 일환으로 악의적 링크를 클릭했고, 사용자 지정 Cloudflare 로그인 페이지에 회사 로고와 유명한 Cloudflare 라바 램프 벽의 배경 이미지가 동적으로 로드되었습니다.

그림 2: Cloudflare 브랜딩을 사용하여 스푸핑된 Microsoft 자격 증명 피싱

공격자가 수집한 자격 증명을 입력하면 웹 사이트가 Office.com으로 리디렉션됩니다.


피싱 이메일에 악용되는 또 다른 서비스로는 아래 이미지와 같은 SendGrid가 있는데, 이 이메일 마케팅 회사가 PayPal 전화 사기를 보내는 데 활용되고 있습니다. 악의적 행위자는 SendGrid를 이용하여 발신자 정책 프레임워크(SPF), 도메인 키 식별 메일(DKIM), 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 등 기존의 이메일 보안 방법을 우회하고 캠페인에 신뢰성을 부여할 수 있습니다.

그림 3: SendGrid를 이용하여 전송된 PayPal 전화 사기 사례

이 사기와 유사한 사기의 경우 사용자가 나열된 전화 번호로 전화를 걸도록 유도하여 악의적인 행위자가 대기 중인 콜센터로 연결하고, 그곳에서 피해자가 전화로 맬웨어를 설치하고 은행 정보를 훔치도록 유도합니다.

이메일 인증의 89%는 위협을 막지 못합니다. 피싱 수법이 날로 지능화되고 사용자의 받은 편지함에 침투하는 사례가 증가함에 따라 사이버 복원력을 기업 문화로 강화하고 이메일 기반 위협으로부터 조직을 보호하는 것이 그 어느 때보다 중요해졌습니다.

Cloudflare Email Security는 첨단 머신 러닝과 인공 지능을 사용하여 악의적인 공격자가 기존 보안 및 클라우드 이메일 공급자를 우회하기 위해 사용하는 새로운 수법을 실시간으로 발견합니다. 무료 피싱 위험 평가를 요청하여 현재 이메일 보안 시스템에서 어떤 피싱 공격이 허용되고 있는지 확인하세요.

이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.


이 주제에 관해 자세히 알아보세요.

2023 피싱 위협 보고서를 다운로드하여 최근 동향에 대한 전체 조사 결과와 성공적인 공격 방지를 위한 권장 사항을 확인하세요.

Get the report!

작성자

Maaz Qureshi
Cloudflare 위협 대응 엔지니어



핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 합법적인 서비스가악성 페이로드를 전송하는 데 이용되고 있음

  • 89%의 이메일 인증이 위협을 막지 못함

  • 선제적 이메일 보안으로 기존 보안을 우회하는 새로운 수법을 발견하는 방법



이 시리즈의 다른 글:


가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!