Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

중간자공격

마이크로소프트, 대규모 피싱 캠페인 발견 "피해 기업 1만 곳 이상"

마이크로소프트 보안 연구팀이 HTTPS 프록시 기술을 악용해 오피스 365 계정을 장악하는 대규모 피싱 캠페인을 발견했다. 다중인증(Multi-factor Authentication, MFA)를 우회한 공격은 2021년 9월부터 약 1만 곳 이상의 기업을 대상으로 진행됐다. 해당 피싱 캠페인의 목적은 직원의 이메일 계정을 사용해 같은 조직이나 외부 비즈니스 파트너의 다른 직원을 속여 사기성 송금을 실행하는 공격 유형인 BEC(Business Email Compromise)로 보인다. FBI 산하 IC3(Internet Crime Complaint Center)에 따르면, 2016년 6월부터 2021년 12월까지 BEC 공격으로 발생한 손실액은 430억 달러(약 53조 2,300억 원) 이상이다.   MFA까지 우회한 중간자 공격 마이크로소프트에 따르면, 공격은 악성 HTML 첨부파일이 포함된 악성 이메일을 수신한 피해자에서 시작됐다. 일부 이메일은 음성 메일 알림으로 위장해 사용자에게 첨부파일을 열도록 안내했다. 첨부파일을 열면 다운로드 진행 상황을 시뮬레이션하는 페이지로 리디렉션됐다가 가짜 오피스 365 로그인 페이지로 다시 리디렉션된다.  전형적인 피싱 공격처럼 보이지만, 백엔드 구현에서 차이가 있다. 첫째, 사용자의 이메일 주소가 리디렉션 페이지의 URL에 인코딩되고 피싱 페이지의 로그인 필드를 미리 채우는 데 사용된다. 둘째, 피싱 페이지 자체가 프록시 역할을 하고 정상적인 오피스 365 로그인 페이지에서 실시간으로 콘텐츠를 가져온다. 피싱 페이지는 HTTPS 지원 도메인 이름에서 호스팅되었으며, 그중 일부에 마이크로소프트 서비스를 가장하는 이름이 있었다. 근본적으로는 피해자의 브라우저가 피싱 페이지와 TLS 연결을 설정하고, 피싱 페이지는 실제 로그인 사이트와 TLS 연결을 설정한 것이었다. 이메일 주소가 자동으로 채워지므로 피해자는 기업에서 사용하던 오피스 365 로그인 페이지라고 믿기 쉬웠다. 피싱 페이지는 프록시 역...

윈도우 중간자공격 피싱메일 2022.07.13

MitM 공격이란 무엇인가 "MitM 공격의 메커니즘과 예방법"

MitM(Man in the Middle, 중간자) 공격은 공격자가 비밀리에 도청하거나 이동하는 트래픽을 수정하기 위해 두 당사자 사이에서 통신을 가로채는 것이다. 공격자는 MitM 공격을 이용해 로그인 자격 증명이나 개인 정보를 훔치거나 피해자를 염탐하거나 통신을 방해하거나 데이터를 파괴할 수 있다.   크라우드스트라이크(CrowdStrike)의 기술 전략가 제키 트레디는 "MitM 공격은 결국 전략적인 수단"이라며, "그 목적은 개인이나 집단을 염탐해 노력, 재정, 자원, 관심 등을 돌리는 것일 수 있다"고 설명했다.  MitM은 암호화로 방지할 수 있지만 공격자는 정상적인 것처럼 보이도록 고안된 피싱(Phishing) 사이트로 트래픽을 전환하거나 트래픽을 획득하거나 기록한 후 의도한 목적지로 전달할 것이기 때문에 이 공격을 탐지하기란 매우 어렵다. MitM 공격의 메커니즘 MitM 공격은 오래된 사이버 공격의 한 형태다. 컴퓨터 공학자들은 1980년대 초부터 통신에 간섭하거나 도청하는 위협 활동자들을 방지하는 방법을 연구해 왔다.  MitM 공격은 두 당사자 사이에서 트래픽을 관찰하거나 조작하는 것으로 구성된다. 이는 정상적인 네트워크에 간섭을 일으키거나 공격자가 통제하는 가짜 네트워크를 생성해 가능하다. 그리고 나서 해킹된 트래픽은 암호화를 제거해 트래픽을 훔치거나 변경하거나 공격자가 원하는 목적지(피싱 로그인 사이트 등)로 전달한다. 공격자는 가로챈 트래픽을 기록하거나 수정한 후에는 조용히 관찰하거나 재암호화할 수 있기 때문에 공격을 찾아내기 어려울 수 있다. SANS TI(Technology Institute)의 연구 학장 요하네스 울리히는 "MitM 공격은 공격자가 실제로 피해자, 그리고 피해자가 접속하려고 시도하는 정상적인 호스트 사이에 존재하는 공격이다. 그들은 연결 상태에서 수동적으로 도청하거나 실제로 연결을 가로채고 종료하며 목적지로 새로운 연결을 설정한다&q...

중간자공격 MiTM 2019.02.18

토픽 브리핑 | 레노버의 슈퍼피시 사건과 중국, 그리고 미국

이번 한주에도 각종 보안사건이 줄을 잇는 가운데, 국내 최대 명절인 설날 시즌 중에 전세계적으로 떠들썩한 보안사건이 발생했다. 이 보안 사건의 주체는 크래커도, 사이버 범죄 집단도 아닌 세계 최대의 PC 제조업체인 레노버였다. 레노버의 노트북에 슈퍼피시라는 애드웨어가 포함된 것으로 드러났는데, 이것이 엄청난 파장의 시발점이 됐다. 레노버 노트북, 슈퍼피시 애드웨어 탑재 논란 '슈퍼피시(Superfish)의 비주얼 디스커버리'라는 이름의 이 애드웨어는 사용자 동의 없이 구글 크롬 및 인터넷 익스플로러 웹 검색 상에 서드파티 광고를 노출시킨다. 이 사건의 발단은 지난해 9월부터 레노버가 자사의 제품에 애드웨어를 사전 설치하면서부터다. 이후 레노버 포럼에는 애드웨어에 대한 불평글이 게재되었고 불평이 많아지자 레노버 소셜 미디어 프로그램 매니저 마크 홉킨스가 진화에 나섰다. 홉킨스는 "슈퍼피시는 협력업체인 슈퍼피시 사의 제품으로 사용자가 제품을 손쉽게 찾을 수 있도록 시각적 도움을 제공할 수 있는 기술이며, 레노버 소비자 제품군에만 탑재됐다"고 설명했다. 그러나 이 애드웨어가 보안상의 문제로 부각된 것은 해커인 마크 로저가 '중간자 공격' 및 프라이버시에 대한 문제를 제기함에 따라 레노버는 지난 1월 말 소비자 제품군에서 이 애드웨어를 제거하기에 이르렀다. 이에 대해 홉킨스는 "일단 슈퍼피시를 제품에서 제거했다. 보안 등의 이슈에 대한 대처 능력을 강화할 예정이다. 이미 시장에 출하된 제품에 대해서는 자동 업데이트 픽스를 제공하도록 권고했다"고 전했다. 레노버 측은 또 제어판에 들어가 프로그램 삭제를 선택한 후 비주얼 디스커버리를 선택해 삭제하면 된다고 덧붙였다. 이 애드웨어가 본격적으로 전세계적인 이슈로 떠오른 것은 미국 보안업체인 에라타 시큐리티가 해당 애드웨어의 취약점을 이용해 공격자가 SSL 암호화 통신을 중간에 가로채는, 이른바 중간자 공격(Man...

미국 레노버 NSA 2015.02.27

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.