부동산 전문가를 대상으로 하는 특이한 표적 자격 증명 수집 캠페인의 일환으로 피싱 서버에 일반 텍스트로 저장된 수천 개의 Microsoft 365 자격 증명이 발견되었습니다. 연구원들은 특히 피싱이 계속해서 정교해지고 기본적인 이메일 보안을 피하면서 전통적인 사용자 이름-비밀번호 조합이 제공하는 증가하고 진화하는 위험을 보여주고 있다고 말합니다.
Ironscales의 연구원들은 사이버 공격자들이 부동산 업계에서 잘 알려진 두 금융 서비스 공급업체인 First American Financial Corp.과 United Wholesale Mortgage의 직원인 척 가장한 공세를 발견했습니다. 사이버 사기꾼들은 이 계정을 사용하여 부동산 중개인, 부동산 변호사, 소유권 대리인, 구매자와 판매자에게 피싱 이메일을 보내고 자격 증명을 캡처하기 위해 스푸핑된 Microsoft 365 로그인 페이지로 유도하기 위해 시도했다고 분석가들은 말했습니다.
이메일은 첨부 문서를 검토해야 하거나 보안 서버에서 호스팅되는 새 메시지가 있음을 알리는 대상입니다. 15월 XNUMX일 게시 Ironscales의 캠페인에서. 두 경우 모두 포함된 링크는 받는 사람을 Microsoft 365에 로그인하도록 요청하는 가짜 로그인 페이지로 안내합니다.
일단 악의적인 페이지에서 연구원들은 진행 과정에서 특이한 반전을 관찰했습니다. 공격자는 각 피싱 세션에서 여러 암호를 알아내려고 시도함으로써 피해자와 함께 시간을 최대한 활용하려고 했습니다.
연구원의 글에 따르면 "이러한 365 자격 증명을 제출하려고 시도할 때마다 오류가 반환되었고 사용자에게 다시 시도하라는 메시지가 표시되었습니다." "사용자는 일반적으로 과거에 사용했을 수 있는 다른 암호의 변형을 시도하기 전에 적어도 한 번 더 동일한 자격 증명을 제출하여 범죄자가 무차별 대입 또는 자격 증명 채우기 공격에 판매하거나 사용할 수 있는 자격 증명의 금광을 제공합니다. 인기있는 금융 또는 소셜 미디어 계정에 액세스하십시오.”
Ironscales의 창립자이자 CEO인 Eyal Benishti는 Dark Reading에 이렇게 말했습니다.
“이것은 후에 부동산에서 일하는 사람들 (부동산 중개인, 소유권 중개인, 부동산 변호사) 매우 친숙한 브랜드와 친숙한 클릭 유도문안('이 보안 문서 검토' 또는 '이 보안 메시지 읽기')을 스푸핑하는 이메일 피싱 템플릿을 사용합니다.”라고 그는 말합니다.
이 캠페인이 어디까지 확산될지는 불확실하지만 회사 조사에 따르면 지금까지 최소 수천 명이 피싱을 당한 것으로 나타났습니다.
Benishti는 "피싱을 당한 사람의 총 수는 알 수 없습니다. 우리는 고객과 교차하는 몇 가지 사례만 조사했습니다."라고 말합니다. "그러나 우리가 분석한 작은 표본에서 2,000회 이상의 제출 시도에서 10,000개 이상의 고유한 자격 증명 세트가 발견되었습니다(많은 사용자가 동일하거나 대체 자격 증명을 여러 번 제공했습니다)."
피해자에 대한 위험이 높습니다. 부동산 관련 거래는 종종 교묘한 사기, 특히 거래의 표적이 됩니다. 부동산 소유권 회사와 관련된.
Benishti에 따르면 "트렌드 및 통계를 기반으로 이러한 공격자는 자격 증명을 사용하여 부동산 거래와 관련된 전신 송금을 가로채거나 직접/리디렉션할 수 있기를 원할 것입니다."라고 말했습니다.
Microsoft Safe Links 작업 중단
또한 이 특정 캠페인에서 주목할만한(그리고 불행한) 기본 보안 제어가 분명히 실패했습니다.
초기 피싱 라운드에서 대상에게 클릭하도록 요청한 URL은 스스로를 숨기려고 시도하지 않았다고 연구원들은 지적했습니다. 링크 위로 마우스를 가져가면 다음과 같은 붉은 깃발을 흔드는 URL이 표시되었습니다. “https://phishingsite.com /folde…[점]shtm.”
그러나 후속 웨이브에서는 안전한 링크 URL(악성 링크를 선택하기 위해 URL을 스캔해야 하는 Microsoft Defender의 기능) 뒤에 주소를 숨겼습니다. Safe Link는 해당 링크가 스캔되고 안전한 것으로 간주되면 특수 명명법을 사용하여 다른 URL로 링크를 덮어씁니다.
이 경우 도구는 실제 대면 "이것은 피싱입니다!"를 시각적으로 검사하는 것을 더 어렵게 만들었습니다. 링크를 통해 메시지가 보다 쉽게 이메일 필터를 통과하도록 허용했습니다. Microsoft는 논평 요청에 응답하지 않았습니다.
"안전 링크에는 몇 가지 알려진 약점이 있으며 잘못된 보안 감각을 생성하는 것이 이 상황에서 중요한 약점입니다."라고 Benishti는 말합니다. “Safe Links는 원래 링크와 관련된 위험이나 속임수를 감지하지 못했지만 마치 있었던 것처럼 링크를 다시 작성했습니다. 사용자와 많은 보안 전문가는 보안 통제가 이루어지기 때문에 잘못된 보안 감각을 갖게 되지만 이 통제는 대체로 비효율적입니다.”
또한 참고 사항: United Wholesale Mortgage 이메일에서 메시지는 "보안 이메일 알림"으로 플래그 지정되었으며 기밀 면책 조항이 포함되었으며 가짜 "Proofpoint Encryption으로 보안됨" 배너가 표시되었습니다.
프루프포인트(Proofpoint)의 사이버 보안 전략 부사장인 라이언 칼렘버(Ryan Kalember)는 자신의 회사가 브랜드 하이재킹을 당하는 것이 낯설지 않다고 말하면서 회사 이름의 가짜 사용은 사실 회사 제품이 스캔하는 알려진 사이버 공격 기술이라고 덧붙였습니다.
그는 사용자가 메시지의 진실성을 판단하기 위해 브랜딩에 의존할 수 없다는 점을 상기시켜 줍니다. "또한 피싱 이메일에 합법성을 추가하기 위해 알려진 보안 공급업체를 사칭하는 경우가 많습니다."
나쁜 남자도 실수를 한다
한편, 훔친 자격 증명으로 이득을 보는 것은 OG 피셔만이 아닐 수도 있습니다.
캠페인을 분석하는 동안 연구원들은 이메일에서 있어서는 안 되는 URL, 즉 컴퓨터 파일 디렉토리를 가리키는 경로를 포착했습니다. 그 디렉토리 안에는 사이버 범죄자들이 부당하게 얻은 이득, 즉 특정 피싱 사이트에 제출된 모든 단일 이메일과 암호 콤보가 누구나 액세스할 수 있는 일반 텍스트 파일에 보관되어 있었습니다.
"이것은 완전히 사고였습니다."라고 Benishti는 말합니다. "엉성한 작업의 결과 또는 다른 사람이 개발한 피싱 키트를 사용하는 경우 무지 가능성이 높습니다. 암시장에서 구입할 수 있는 제품이 엄청나게 많습니다."
가짜 웹 페이지 서버(및 일반 텍스트 파일)는 신속하게 종료되거나 제거되었지만 Benishti가 언급한 바와 같이 공격자가 사용하는 피싱 키트가 일반 텍스트 결함의 원인일 가능성이 있습니다. 세계로."
도난당한 자격 증명, 더 많은 정교함이 피싱 열풍을 불러일으킴
이 캠페인은 피싱 및 자격 증명 수집의 전염병과 향후 인증에 대한 의미를 보다 광범위하게 보여줍니다.
Keeper Security의 CEO이자 공동 창립자인 Darren Guccione은 피싱이 그 정교함 수준 측면에서 계속 진화하고 있다고 말합니다. 기업에 대한 클라리온 경고, 높은 수준의 위험을 감안할 때.
"모든 수준의 악의적인 행위자는 사실적으로 보이는 이메일 템플릿 및 악성 웹사이트와 같은 미적 기반 전술을 사용하여 피싱 사기를 조정하여 피해자를 유인한 다음 자격 증명을 변경하여 계정을 탈취하여 유효한 소유자의 액세스를 방지합니다." 그는 Dark Reading에게 말합니다. “[이와 같은] 공급업체 사칭 공격에서 사이버 범죄자가 훔친 자격 증명을 사용하여 합법적인 이메일 주소에서 피싱 이메일을 보낼 때 이 위험한 전술은 훨씬 더 설득력이 있습니다.
대부분의 최신 피싱은 보안 이메일 게이트웨이를 우회하고 스푸핑하거나 파괴할 수도 있습니다. 이중 인증(2FA) 벤더, Bolster의 제품 마케팅 이사인 Monnia Deng은 덧붙입니다. 일반적으로 사회 공학은 클라우드, 이동성 및 원격 작업의 시대에 매우 효과적입니다.
"모든 사람이 자신의 온라인 경험이 빠르고 쉬울 것으로 기대하면 인적 오류가 불가피하며 이러한 피싱 캠페인은 점점 더 교묘해지고 있습니다."라고 그녀는 말합니다. 그녀는 세 가지 거시적 추세가 피싱 관련 공격의 기록적인 수에 책임이 있다고 덧붙였습니다. 구독 서비스, 피싱 이메일에서 공급망 공격을 일으킬 수 있는 기술 플랫폼의 상호 의존성.”
따라서 현실은 다크 웹이 훔친 사용자 이름과 암호의 대규모 캐시를 호스팅한다는 것입니다. 빅 데이터 덤프는 드문 일이 아니며 크리덴셜 스터핑(credential-stuffing) 및 무차별 암호 대입 공격(brute-force attack)뿐만 아니라 추가 피싱 활동에도 박차를 가하고 있습니다.
예를 들어 위협 행위자가 최근 First American Financial 침해 정보를 사용하여 피싱을 보내는 데 사용한 이메일 계정을 손상시켰을 가능성이 있습니다. 그 사건으로 개인 정보가 포함된 800억 개의 문서가 노출되었습니다.
Benishti는 "데이터 유출 또는 유출은 사람들이 생각하는 것보다 반감기가 더 깁니다."라고 말합니다. "미국 최초의 금융 침해는 2019년 XNUMX월에 발생했지만 노출된 개인 데이터는 몇 년 후 무기화될 수 있습니다."
이 분주한 시장과 그 안에서 운영되는 수익자들을 저지하려면 암호 너머를 볼 때라고 그는 덧붙입니다.
Benishti는 "비밀번호는 계속해서 증가하는 복잡성과 회전 빈도를 요구하므로 보안 소진으로 이어집니다."라고 말합니다. “올바른 작업을 수행하는 것이 너무 복잡해지기 때문에 많은 사용자가 복잡한 암호를 만들려는 노력에 대해 불안해할 위험을 감수합니다. 다단계 인증은 도움이 되지만 완벽한 솔루션은 아닙니다. 디지털 세계에서 자신이 누구인지 확인하고 필요한 리소스에 액세스하려면 근본적인 변화가 필요합니다.”
피싱 쓰나미와 싸우는 방법
암호 없는 접근 방식이 널리 퍼져 있는 상황에서 Proofpoint의 Kalember는 기본 사용자 인식 신조가 피싱과 싸울 때 시작해야 할 곳이라고 말합니다.
"사람들은 모든 원치 않는 커뮤니케이션, 특히 첨부 파일을 다운로드하거나 열거나, 링크를 클릭하거나, 개인 또는 금융 정보와 같은 자격 증명을 공개하는 것과 같이 사용자에게 행동을 요구하는 커뮤니케이션에 주의를 기울여야 합니다."라고 그는 말합니다.
또한 모든 사람이 사용하는 모든 서비스에서 우수한 암호 위생을 배우고 실천하는 것이 중요하다고 Benishti는 덧붙입니다. . 그렇지 않다면 동기가 부여된 공격자는 원하는 것을 얻기 위해 모든 종류의 데이터와 계정을 상호 연결하는 더 좋은 방법을 가지고 있습니다.”
또한 Ironscales는 모든 직원을 대상으로 정기적인 피싱 시뮬레이션 테스트를 권장하고 다음을 확인하기 위한 경험적 위험 신호 세트를 호출했습니다.
- 사용자는 보낸 사람을 면밀히 관찰하여 이 피싱 공격을 식별할 수 있습니다.
- 발신 주소가 반송 주소와 일치하고 주소가 일반적으로 거래하는 비즈니스와 일치하는 도메인(URL)에서 온 것인지 확인하세요.
- 잘못된 철자와 문법을 찾으십시오.
- 링크 위로 마우스를 가져가 대상의 전체 URL/주소를 보고 이상하게 보이는지 확인합니다.
- Microsoft 365 또는 Google Workspace 로그인과 같이 관련되지 않은 자격 증명을 요구하는 사이트에 대해서는 항상 매우 주의하십시오.
