최신 보안 동향

미국 정부 기관을 사칭해 Microsoft 계정을 탈취하는 피싱 공격

TACHYON & ISARC 2022. 9. 20. 15:52

최근, 미국 정부 기관을 사칭해 Microsoft Office 365 계정을 탈취하는 피싱 공격이 발견됐다.

 

보안 업체 Confense에 따르면, 공격자가 미국 정부의 계약업체에게 프로젝트 입찰 내용으로 위장한 피싱 메일을 보내, Microsoft 계정 탈취를 유도하는 것으로 알려졌다.

사용자가 피싱 사이트에 접속할 경우, Microsoft 로그인 입력을 유도해 사용자의 계정 정보를 탈취한다.

 

피싱 사이트는 HTTPS와 긴 도메인을 이용해 합법적인 사이트처럼 보이도록 위장하고 있어, 접속 페이지의 URL 주소를 확인하고 주의할 것을 권고했다.

 

[미국 정부 기관을 사칭한 피싱 메일]

사진출처 : Confense

 

 

출처

[1] Confense (2022.09.19) - Credential Phishing Targeting Government Contractors Evolves Over Time

https://cofense.com/blog/credential-phishing-targeting-government-contractors-evolves-over-time