잉카인터넷 시큐리티대응센터 블로그

최근, Google Registry에서 웹사이트 또는 이메일 주소 호스팅에 사용할 수 있는 8개의 최상위 도메인을 도입했다. 추가된 도메인에는 .dad, .phd, .prof, .esq, .foo, .zip, .mov 및 .nexus 등이 있고 현재 모두 사용할 수 있다. 이 중 .zip, .mov 등의 도메인은 파일의 확장자로도 사용되므로 파일명과 URL이 혼재되어 발생할 위험에 대한 우려가 제기되고 있다. 보안 업체 Silent Push Labs는 microsoft-office[.]zip과 같이 Microsoft로 위장한 피싱 사이트 제작에 .zip 도메인이 악용되는 사례를 발견했으며, 보안 연구원 Rauch는 Github에서 파일 다운로드 링크로 위장해 .zip 도메인을 갖는 피싱 사이트로 접속을 ..

최근, Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 "Greatness"를 사용한 공격이 급증하고 있다. Cisco Talos의 조사에 따르면, 해당 도구를 사용하는 공격자는 HTML 파일을 첨부한 피싱 메일을 발송해 공격을 시도한다. 사용자가 첨부 파일을 실행하면 Microsoft 365 로그인 페이지로 위장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 또한, 로그인 과정에서 MFA 인증이 사용될 경우, 음성 통화 또는 SMS 코드 등 실제 Microsoft 365 페이지에서 요청한 MFA 방법을 사용해 사용자에게 인증을 요구한다. 해당 페이지를 통해 사용자가 로그인을 시도하면, 입력한 계정 정보를 탈취해 텔레그램 봇을 통해 공격자에게 전송한다. 사진출처 : C..

최근, 인도 철도 공사 IRCTC를 사칭해 피해자의 금융 정보를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 트위터 사용자를 대상으로 IRCTC 고객 지원 담당자로 가장해 접근하는 것으로 알려졌다. 공격자는 트위터에서 인도 철도에 대한 불만 사항을 게시한 사용자에게 연락해 보상을 빌미로 열차 예약 번호, 환불 금액 및 결제 수단 등의 정보를 요구한다. 또한, SMS 및 금융 정보를 탈취하기 위해 추가적인 피싱 사이트와 악성 Android 앱을 사용한 것으로 밝혀졌다. Cyble은 사용자에게 이러한 사기 수법을 인지하고, 타인에게 개인 정보를 제공하거나 앱을 설치할 경우 주의할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.27) - New W..

최근, 암호화폐 플랫폼의 고객센터를 사칭해 다단계 인증을 우회하고 암호화폐를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 PIXM에 따르면, 공격자가 암호화폐 플랫폼을 사칭한 피싱 사이트에서 사용자의 로그인 오류를 발생시킨 후, 고객 지원을 가장한 채팅을 통해 사용자로부터 계정 정보 입력을 유도하는 것으로 알려졌다. 해당 계정 정보를 통한 로그인에 실패할 경우, 공격자는 사용자에게 원격 제어 앱 'TeamViewer'의 설치를 요구하며 해당 앱으로 인증 정보를 탈취해 계정 로그인을 시도한다. 로그인에 성공할 경우, 실시간 채팅으로 사용자의 주의를 끌며 사용자 지갑의 암호화폐를 모두 탈취한다. 사진출처 : PIXM 출처 [1] PIXM (2022.11.21) - Cybercrime Group Expands..

최근, 인도네시아 은행인 BRI(Bank Rakyat Indonesia) 고객을 대상으로 하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 BRI 은행으로 위장한 피싱 사이트와 악성 앱을 통해 피해자의 은행 계정 및 OTP를 탈취하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속해 로그인할 경우 입력한 계정 정보를 탈취하고, 추가적으로 OTP 정보를 탈취하기 위한 “SMSeye” 안드로이드 악성코드의 다운로드를 유도한다. 해당 악성 앱은 설치 후 SMS 접근 권한을 요구하고 사용자의 의심을 피하기 위해 실제 BRI 은행 사이트를 띄운다. 이후, 권한을 획득한 악성 앱은 사용자의 SMS 메시지로부터 OTP 정보를 탈취해 공격자의 텔레그램 봇으로 전송한다. Cyble은 Play 스토어 ..

최근, 그리스 국세청을 사칭한 피싱 사이트에서 키로깅을 통해 정보를 탈취하는 공격이 발견됐다. 보안 업체 Cyble은 공격자가 그리스 납세자에게 세금 환급 내용으로 위장한 피싱 메일을 전송해 피싱 사이트 접속을 유도한다고 알렸다. 피싱 사이트는 그리스 국세청 페이지로 위장하고 있으며, 은행을 선택하면 해당 은행 사이트를 가장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 해당 페이지에서 아이디와 패스워드를 입력할 경우, 로그인 버튼을 누르지 않아도 키로깅을 통해 사용자의 모든 키 입력 정보를 공격자에게 실시간으로 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2022.09.14) – Phishing Campaign Targets Greek Banking Users https:..

최근, 미국 정부 기관을 사칭해 Microsoft Office 365 계정을 탈취하는 피싱 공격이 발견됐다. 보안 업체 Confense에 따르면, 공격자가 미국 정부의 계약업체에게 프로젝트 입찰 내용으로 위장한 피싱 메일을 보내, Microsoft 계정 탈취를 유도하는 것으로 알려졌다. 사용자가 피싱 사이트에 접속할 경우, Microsoft 로그인 입력을 유도해 사용자의 계정 정보를 탈취한다. 피싱 사이트는 HTTPS와 긴 도메인을 이용해 합법적인 사이트처럼 보이도록 위장하고 있어, 접속 페이지의 URL 주소를 확인하고 주의할 것을 권고했다. 사진출처 : Confense 출처 [1] Confense (2022.09.19) - Credential Phishing Targeting Government Con..

인보이스로 위장한 피싱 메일 주의! 최근, 인보이스로 위장한 HTML 파일을 통해 Microsoft Outlook 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 "[HardRock Invoice#1271833 17] Thanks for your order, tax invoice issued for goods dipatched"라는 제목으로 유포되며, 호주의 온라인 패션 의류 업체 H사를 사칭해 첨부파일 실행을 유도한다. 사용자가 첨부된 html 파일을 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 한다. 이때, 이메일 주소 필드에는 수신인을 타깃으로 이메일 주소가 미리 입력되어 있기 때문에 사용자들은 무심코..

인보이스로 위장한 피싱 메일 주의! 최근, 인보이스로 위장한 메일을 통해 Microsoft Outlook 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 "Invoice"라는 제목으로 유포되며, 메일 본문의 “Safe Sender”라는 문구를 통해 사용자로 하여금 의심을 피하고 첨부파일 실행을 유도하고 있다. 첨부된 html 파일을 실행할 경우 Microsoft를 사칭한 피싱 사이트로 연결되고, Outlook 계정의 비밀번호를 입력하도록 유도한다. 이때, 이메일 주소 필드에는 메일 수신인의 이메일 주소가 미리 입력되어 있기 때문에 무심코 비밀번호를 입력하지 않도록 주의가 필요하다. 비밀번호를 입력하고 “Sign in” 버튼을 클릭할 경우 입력한 비밀번호와 사용자의 IP..

팩스 수신 확인 위장 피싱 메일 주의! 최근, 팩스 수신 확인을 위장해 Microsoft 계정을 탈취하는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 "IncomingFaxDocument from ○○○○○"이라는 제목으로 유포되며, 수신한 팩스를 확인하기 위해 메일에 첨부된 하이퍼링크를 클릭할 것을 유도하고 있다. 메일에 첨부된 링크를 클릭하면 가짜 팩스 정보를 포함하는 또 다른 웹페이지로 리디렉션된다. 해당 페이지에는 팩스 수신 날짜, 문서 매수 및 타입에 대한 정보가 상세하게 적혀있어 사용자들로 하여금 가짜 팩스 문서라는 의심을 피하고 문서를 확인하도록 유도한다. 해당 페이지에서 “VIEW OR PRINT DOCUMENT” 버튼을 클릭하면 Microsoft 계정 입력을 유도..