교묘한 피싱 공격에 넘어가지 마세요

교묘한 피싱 공격에 넘어가지 마세요

Don't Fall For This Dangerously Convincing Ongoing Phishing Attack

<이미지 출처 : http://thehackernews.com/2017/01/gmail-phishing-page.html>

Gmail 사용자를 타겟으로 한 새로운 피싱 공격이 발견되었습니다. 이는 매우 설득력이 강하고 상당히 효과적이기 때문에 최신 기술에 능통한 사용자도 현혹되어, 공격자에게 구글 크리덴셜을 넘겨줄 가능성이 높습니다.

공격자는 먼저 피해자의 Gmail 계정을 해킹하고, 접속에 성공하면 추가 공격을 실행하기 위해 받은 편지함에서 정보를 탈취합니다. 이후 피해자가 실제로 다른 사람들에게 보냈던 이메일의 첨부파일들과 관련된 제목들을 검색합니다. 끝으로 연락처에서 공격자의 새로운 타겟이 될 사용자의 이메일 주소들을 수집합니다.

새로운 타겟을 발견하면, 공격자는 첨부파일 스크린샷 이미지를 생성해 메일 발신자에게 동일하거나 유사한 제목의 이메일로 답장을 발송합니다. 이 공격이 효과적으로 평가받는 이유는, 피해자가 아는 누군가로부터 피싱 메일이 송신되기 때문입니다.

이 새로운 Gmail 피싱 공격은 PDF 첨부파일의 썸네일 버전으로 위장한 이미지 첨부파일을 사용합니다. 이를 클릭하면 구글 로그인 페이지로 위장한 피싱 페이지로 이동됩니다. 가짜 Gmail로그인 페이지의 URL은 account.google.com 서브도메인을 포함하는데, 이는 대부분의 사람들이 정식 구글 페이지라고 믿도록 속이기에 충분합니다.

 

<이미지 출처 : http://thehackernews.com/2017/01/gmail-phishing-page.html>

<이미지 출처 : http://thehackernews.com/2017/01/gmail-phishing-page.html>

또한 구글이 안전하지 않은 페이지를 알려줄 때 보여주는 붉은색 아이콘을 표시하지 않기 때문에 사용자가 Gmail 해킹 수법에 쉽게 당할 수 있습니다.

해당 공격을 보도한 WordFence의 CEO인 Mark Maunder는 블로그를 통해 아래와 같이 밝혔습니다.

“이 피싱 기술은 브라우저의 주소창에 온전한 파일을 포함하기 위해 ‘데이터 URI’를 사용한다. 브라우저의 주소창에 ‘data:text/html….’이 표시 된다면, 이는 사실 매우 긴 텍스트일 것이다.”

“이 공격에서 ‘data:text/html’과 신뢰할 수 있는 호스트명은 동일한 색상이다. 이는 ‘data:text/html’ 부분이 크게 중요하지 않거나 신뢰할 수 있다고 인식함을 나타낸다.”

이 공격이 사용한 영리한 트릭으로 인해 피해자들은 그들의 크리덴셜을 입력하게 됩니다. 입력한 크리덴셜은 공격자에게 전달됩니다. 이러한 공격들로부터 보호받는 법은 매우 단순합니다. Gmail 사용자의 경우, '이중인증 기능'을 활성화하고, 이메일을 확인할 때에는 모든 이메일 내 첨부파일을 오픈하기 전 각별히 주의를 기울이는 것입니다.

관련 예방수칙을 잘 준수하면 공격자들이 사용자의 크리덴셜들을 확보해도, 전화기나 USB 암호키가 없으면 그 이상 계정에 접근할 수 없게 됩니다.

출처 :

http://thehackernews.com/2017/01/gmail-phishing-page.html

https://www.wordfence.com/blog/2017/01/gmail-phishing-data-uri/