2019.11.05

오피스 365 사용자를 겨냥한 가짜 보이스메일 메시지 피싱 공격

Lucian Constantin | CSO
오피스 365 사용자들이 피싱 공격의 지속적인 표적이 되고 있다. 오피스 365 계정을 통해 가치 높은 회사정보 및 시스템에 접근할 수 있기 때문이다. 보이스메일로 가장한 오디오 파일로 사용자를 속여 비밀번호를 빼내는 새로운 해킹 수법이 등장했다.
 
ⓒ Getty Images

지난 몇 주간 서비스, 금융, IT, 소매, 보험, 제조, 기반시설, 에너지, 정부, 법률, 교육, 보건, 교통 등 다양한 업계의 조직들을 대상으로 기승을 부린 이 해킹 사건이 많이 발생했다. 이 사건들을 관찰한 보안업체 맥아피(McAfee) 연구진은 최근 공개된 보고서를 통해 “중간 관리직에서부터 임원급에 이르기까지 광범위한 직원들이 표적이 되었다”면서, “이는 ‘피싱(Phishing)’ 겸 ‘웨일링(whaling)’ 공격”이라고 밝혔다. 웨일링은 고위 임원, 부서장 등 조직 내 가치 높은 표적들을 겨냥한 피싱의 일종으로서 이들이 관심을 갖고 속을 만한 미끼를 사용한다.


오피스 365 피싱 공격 방식

피싱에 이용되는 악성 이메일에는 마이크로소프트 로고가 들어 있으며 특정 전화번호로부터 부재중 전화가 왔었다는 내용과 함께 발신자 ID, 날짜, 통화 지속시간, 조직명, 참고번호 등의 정보를 알려 준다.

이메일의 HTML 첨부파일을 열면 피싱 사이트로 이동되는데 마이크로소프트에서 보이스메일을 불러오고 있으니 로그인하라는 메시지가 뜬다. 이 때 누군가의 음성이 담긴 짧은 오디오 녹음 파일이 재생되는데 진짜 보이스메일의 시작 부분이라는 착각을 일으킨다.

맥아피 연구진의 설명에 따르면, 다른 피싱 공격과 차별화되는 특징은 오디오 파일로 뭔가 긴급하다는 인상을 심어줘서 악성 링크 클릭을 유도한다는 점이다. 따라서 소셜 엔지니어링 측면에서 해커들이 유리하다.

녹음 파일이 재생되면 오피스 365 로그인 페이지와 비슷한 또 다른 악성 페이지로 이동되는데 이메일 주소가 자동으로 미리 입력되어 있어 사용자를 안심시킨다. 만일 사용자가 비밀번호를 입력하면 로그인에 성공했다는 메시지가 뜬 후 정식 오피스닷컴 웹사이트로 다시 이동된다.


시중 피싱 키트가 사용됨

맥아피 연구진은 이런 피싱 공격이 3종류의 피싱 키트를 이용해 이루어지고 있음을 밝혀냈다. 피싱을 목적으로 개발된 이러한 키트들은 지하시장에서 구매할 수 있는데 이 가운데에는 보이스메일 스캠페이지 2019(Voicemail Scmpage 2019)라는 것도 있다.

사이버범죄 포럼에서 쉽게 구할 수 있는 이러한 키트들로 인해 사이버범죄자들의 진입 장벽이 낮아지고 있다. 특별한 지식이나 기술 없이도 쉽게 감행할 수 있기 때문에 이런 공격은 앞으로 더욱 흔해질 가능성이 높다.


가짜 보이스메일 피싱의 피해와 대처법

이러한 피싱을 시도하는 이메일들은 첨부 파일 형식(예: DD-Month-YYYY.wav.html, Voice-DD-MonthYYYYwav.htm, Audio_Telephone_MessageDD-Month-YYYY.wav.html)으로 구분할 수 있다. 가짜 보이스메일 페이지 호스팅에 사용되는 도메인들은 무작위로 생성된 이름처럼 보이는데 이런 도메인들의 목록은 맥아피 보고서에 나와 있다.

해킹한 오피스 365 인증 정보는 해커들에게 가치가 높다. 왜냐하면 오피스 구독 서비스를 이용하는 회사에서는 마이크로소프트 계정 하나로 다양한 서비스와 데이터에 접근하는 경우가 보통이기 때문이다. 해킹된 계정으로 임원을 사칭해 같은 조직 내 다른 직원으로 하여금 회사에 금전적 손실을 가져오거나 추가적인 해킹으로 귀결되는 행동을 유도할 수도 있다. 

미국 FBI에 따르면, 업무 이메일 해킹(BEC) 사기로 인해 지난 3년 간 전세계 조직들이 입은 피해 규모는 260억 달러(30조 원)가 넘는 것으로 추산되고 있다.

IT 관리자들은 해당 조직의 오피스 365 계정들을 대상으로 이중 인증(2FA)을 활성화하는 것이 좋다. 2FA를 우회하는 피싱 공격도 가능하지만 성공하려면 더 많은 리소스와 특수 인프라가 필요하기 때문이다. 보안의 중요성을 인식하는 조직이라면 직원들이 피싱 이메일을 식별하고 미지의 발신자가 보낸 의심스러운 링크를 클릭하거나 첨부파일을 열지 않도록 교육시키는 것을 제1의 방어책으로 삼아야 할 것이다. editor@itworld.co.kr 


2019.11.05

오피스 365 사용자를 겨냥한 가짜 보이스메일 메시지 피싱 공격

Lucian Constantin | CSO
오피스 365 사용자들이 피싱 공격의 지속적인 표적이 되고 있다. 오피스 365 계정을 통해 가치 높은 회사정보 및 시스템에 접근할 수 있기 때문이다. 보이스메일로 가장한 오디오 파일로 사용자를 속여 비밀번호를 빼내는 새로운 해킹 수법이 등장했다.
 
ⓒ Getty Images

지난 몇 주간 서비스, 금융, IT, 소매, 보험, 제조, 기반시설, 에너지, 정부, 법률, 교육, 보건, 교통 등 다양한 업계의 조직들을 대상으로 기승을 부린 이 해킹 사건이 많이 발생했다. 이 사건들을 관찰한 보안업체 맥아피(McAfee) 연구진은 최근 공개된 보고서를 통해 “중간 관리직에서부터 임원급에 이르기까지 광범위한 직원들이 표적이 되었다”면서, “이는 ‘피싱(Phishing)’ 겸 ‘웨일링(whaling)’ 공격”이라고 밝혔다. 웨일링은 고위 임원, 부서장 등 조직 내 가치 높은 표적들을 겨냥한 피싱의 일종으로서 이들이 관심을 갖고 속을 만한 미끼를 사용한다.


오피스 365 피싱 공격 방식

피싱에 이용되는 악성 이메일에는 마이크로소프트 로고가 들어 있으며 특정 전화번호로부터 부재중 전화가 왔었다는 내용과 함께 발신자 ID, 날짜, 통화 지속시간, 조직명, 참고번호 등의 정보를 알려 준다.

이메일의 HTML 첨부파일을 열면 피싱 사이트로 이동되는데 마이크로소프트에서 보이스메일을 불러오고 있으니 로그인하라는 메시지가 뜬다. 이 때 누군가의 음성이 담긴 짧은 오디오 녹음 파일이 재생되는데 진짜 보이스메일의 시작 부분이라는 착각을 일으킨다.

맥아피 연구진의 설명에 따르면, 다른 피싱 공격과 차별화되는 특징은 오디오 파일로 뭔가 긴급하다는 인상을 심어줘서 악성 링크 클릭을 유도한다는 점이다. 따라서 소셜 엔지니어링 측면에서 해커들이 유리하다.

녹음 파일이 재생되면 오피스 365 로그인 페이지와 비슷한 또 다른 악성 페이지로 이동되는데 이메일 주소가 자동으로 미리 입력되어 있어 사용자를 안심시킨다. 만일 사용자가 비밀번호를 입력하면 로그인에 성공했다는 메시지가 뜬 후 정식 오피스닷컴 웹사이트로 다시 이동된다.


시중 피싱 키트가 사용됨

맥아피 연구진은 이런 피싱 공격이 3종류의 피싱 키트를 이용해 이루어지고 있음을 밝혀냈다. 피싱을 목적으로 개발된 이러한 키트들은 지하시장에서 구매할 수 있는데 이 가운데에는 보이스메일 스캠페이지 2019(Voicemail Scmpage 2019)라는 것도 있다.

사이버범죄 포럼에서 쉽게 구할 수 있는 이러한 키트들로 인해 사이버범죄자들의 진입 장벽이 낮아지고 있다. 특별한 지식이나 기술 없이도 쉽게 감행할 수 있기 때문에 이런 공격은 앞으로 더욱 흔해질 가능성이 높다.


가짜 보이스메일 피싱의 피해와 대처법

이러한 피싱을 시도하는 이메일들은 첨부 파일 형식(예: DD-Month-YYYY.wav.html, Voice-DD-MonthYYYYwav.htm, Audio_Telephone_MessageDD-Month-YYYY.wav.html)으로 구분할 수 있다. 가짜 보이스메일 페이지 호스팅에 사용되는 도메인들은 무작위로 생성된 이름처럼 보이는데 이런 도메인들의 목록은 맥아피 보고서에 나와 있다.

해킹한 오피스 365 인증 정보는 해커들에게 가치가 높다. 왜냐하면 오피스 구독 서비스를 이용하는 회사에서는 마이크로소프트 계정 하나로 다양한 서비스와 데이터에 접근하는 경우가 보통이기 때문이다. 해킹된 계정으로 임원을 사칭해 같은 조직 내 다른 직원으로 하여금 회사에 금전적 손실을 가져오거나 추가적인 해킹으로 귀결되는 행동을 유도할 수도 있다. 

미국 FBI에 따르면, 업무 이메일 해킹(BEC) 사기로 인해 지난 3년 간 전세계 조직들이 입은 피해 규모는 260억 달러(30조 원)가 넘는 것으로 추산되고 있다.

IT 관리자들은 해당 조직의 오피스 365 계정들을 대상으로 이중 인증(2FA)을 활성화하는 것이 좋다. 2FA를 우회하는 피싱 공격도 가능하지만 성공하려면 더 많은 리소스와 특수 인프라가 필요하기 때문이다. 보안의 중요성을 인식하는 조직이라면 직원들이 피싱 이메일을 식별하고 미지의 발신자가 보낸 의심스러운 링크를 클릭하거나 첨부파일을 열지 않도록 교육시키는 것을 제1의 방어책으로 삼아야 할 것이다. editor@itworld.co.kr 


X