이메일을 속일 수 있는 피싱 메시지 유형

만연하고 전 세계에 미치는 영향 측면에서 피싱에 이르는 사이버 범죄는 거의 없습니다. 사용자의 인증 데이터를 획득하거나, 조직에 돈을 빌링하거나, 위험한 이메일을 통해 컴퓨터 바이러스를 퍼뜨리는 것을 목표로 하는 악의적인 캠페인의 최전선에 있습니다.

보안 분석가의 최근 조사 결과는 큰 그림을 보여줍니다. 2020년 1분기에 165,772개 이상의 새로운 피싱 사이트가 발견되었습니다. FBI는 BEC(Business Email Compromise)가 기업에 초점을 맞춘 증가하는 유형의 피싱이라고 밝혔습니다. 이로 인해 기업은 매년 사기성 전신 송금으로 약 50억 달러의 손실을 보고 있습니다.

사이버 범죄자들은 ​​장르를 확장하고 있습니다.

이 놀라운 통계는 재앙의 폭과 깊이를 보여줍니다. 당연히 수많은 보안 회사와 이메일 제공업체에서 사기 메시지가 사용자의 받은 편지함에 들어가지 않도록 하는 솔루션을 제공하고 있습니다. 점점 더 효과적인 방어 수단은 피싱 캠페인 운영자가 기존 필터를 우회하는 새로운 방법을 마스터하도록 장려합니다.

이메일 필터를 우회하는 것은 수신자의 양심에 올바른 문자열을 끌어들이는 내러티브가 있는 불량 메시지를 조정하는 것만큼 사기꾼에게 중요해졌습니다. 다음 기술은 최근 피싱 운영자의 레퍼토리를 향상시켜 주요 대응 조치에도 불구하고 이메일이 위험 신호를 발생시키고 목적지에 도달하지 않도록 합니다.

추천 대상: 사이버 보안에서 인공 지능(AI)의 역할은 무엇입니까?

Google Cloud Services를 통해 수집된 Office 365 사용자 인증 정보

사이버 범죄자들은 ​​점점 더 인기 있는 클라우드 서비스에서 미끼 파일과 피싱 페이지를 호스팅하고 있습니다. 이 전술은 사기에 신뢰성과 난독화를 추가하여 보안을 중시하는 사용자와 보호 시스템이 이를 탐지하는 것을 매우 어렵게 만듭니다.

사이버 보안 회사인 체크 포인트(Check Point)의 연구원들이 최근에 발굴한 캠페인은 이러한 유형의 사기가 얼마나 회피할 수 있는지 보여줍니다. 미끼 요소는 Google 드라이브에 업로드된 PDF 문서입니다. 이 공유 파일에는 중요한 비즈니스 정보가 포함되어 있습니다. 그러나 이를 보려면 피해자가 "문서 액세스" 버튼을 클릭해야 합니다. 그러면 Office 365 인증 세부 정보 또는 조직 ID를 묻는 로그인 페이지로 연결됩니다. 어떤 옵션을 선택하든 사용자의 Outlook 로그인 정보를 요청하는 팝업 화면이 나타납니다.

이메일 주소와 비밀번호를 입력하는 즉시 피해자는 마침내 PDF 파일을 볼 수 있습니다. 2020년에 잘 알려진 컨설팅 회사에서 발행한 합법적인 마케팅 보고서입니다. 또한 이 공격의 다른 단계에 나타나는 페이지는 Google Cloud Storage에서 호스팅되므로 분명히 악의적인 일이 일어나고 있다는 단서가 거의 없습니다. .

한편, 이 전략의 표면적 합법성에 의해 가려진 심각한 함정은 사기꾼들이 그 과정에서 피해자의 유효한 Office 365 자격 증명을 획득한다는 것입니다. 이 정보가 잘못된 사람의 손에 들어가면 효과적인 BEC 사기, 산업 스파이 및 맬웨어 전파를 위한 런치패드가 될 수 있습니다.

신뢰할 수 있는 은행에서 온 것처럼 위장한 이메일

최근 움직임에서 사기꾼들은 Citigroup이나 Bank of America와 같은 인기 있는 금융 기관을 사칭하는 가짜 메시지를 생성하고 있습니다. 이메일은 은행 웹사이트의 복제본으로 연결되는 하이퍼링크를 클릭하여 이메일 주소 세부 정보를 새로 고치도록 사용자에게 지시합니다. 사기를 실제처럼 보이게 하기 위해 범죄자들은 ​​수신자의 보안 질문을 요청하는 추가 페이지를 사용합니다.

불리한 불일치 중 하나는 이메일이 @yahoo.com 주소에서 전송되기는 하지만 대부분의 필터의 레이더 아래로 미끄러지는 것입니다. 그 이유는 악의적인 요소가 회사에서 소수의 직원만을 대상으로 하기 때문입니다. 일반적인 피싱 방지 솔루션은 다수의 유사하거나 동일한 메시지에 대해 조정되기 때문에 여러 의심스러운 이메일을 간과할 수 있습니다.

또 다른 문제는 메시지가 개인 이메일 계정에서 보낸다는 것입니다. DMARC(Domain-based Message Authentication, Reporting & Conformance) 및 SPF(Sender Policy Framework)와 같은 기존 확인 도구는 원본 도메인을 스푸핑하는 이메일만 식별하기 때문에 이러한 사실은 탐지를 방해합니다.

무엇보다도 은행의 공식 웹사이트를 모방한 크리덴셜 피싱 페이지는 모든 수표를 화려한 색상으로 통과합니다. 최근에 등록되어 아직 블랙리스트에 등록되지 않았기 때문입니다. 또한 유효한 SSL 인증서를 사용합니다. 피싱 링크는 합법적인 Yahoo 검색 서비스를 사용하여 사용자를 리디렉션합니다. 텍스트에 부과된 상당한 압력과 결합된 이러한 모든 단점은 이 캠페인의 성공률을 높입니다.

첨부 파일의 압축을 풀고 감염

일부 위협 행위자는 탐지를 방해하기 위해 악성 아카이브에 유해한 첨부 파일을 숨깁니다. 일반적으로 ZIP 파일에는 하나의 "중앙 디렉터리 끝"(EOCD) 매개변수가 함께 제공됩니다. 아카이브 구조의 마지막 요소를 가리킵니다. 사이버 범죄자가 하는 일은 내부에 추가 EOCD 값이 있는 ZIP 개체를 사용하는 것입니다. 이는 파일에 난독화된 아카이브 트리가 포함되어 있음을 의미합니다.

SEG(Secure Email Gateways)를 구성하는 압축 해제 도구로 처리할 때 ZIP 첨부 파일은 일반적으로 정밀 검사를 받는 "red herring" 구성 요소만 있기 때문에 문제가 없는 것처럼 보입니다. 이 속임수의 여파로 추출된 파일은 수신자의 컴퓨터에서 뱅킹 트로이 목마를 은밀하게 실행합니다.

번역 중 손실

또 다른 일반적인 전략은 외국어로 된 텍스트를 포함하여 이메일 필터를 속이는 것입니다. 일부 방어는 들어오는 메시지에서 영어 또는 사용자의 모국어로만 의심스러운 자료를 검색하도록 구성됩니다.

이를 염두에 두고 사기꾼은 러시아어로 피싱 이메일을 만들고 "Google 번역기 사용"이라는 팁을 포함할 수 있습니다. 결과적으로 메시지는 받은 편지함으로 이동하고 피해자는 번역된 텍스트를 읽은 후 훅 갈 수 있습니다.

당신은 좋아할 수 있습니다: 형편없는 사이버 보안 정책을 작성하기 위한 17가지 멋진 팁.

이메일의 HTML 코드 수정

피싱 메시지가 보호 시스템에 넘어가는 또 다른 방법은 HTML 코드의 텍스트 문자열을 뒤집은 다음 정보를 전달하여 수신자에게 완벽하게 정상적으로 보이도록 하는 것입니다. 잘못 표시된 소스 코드의 내용은 알려진 피싱 템플릿과 겹치지 않으므로 SEG는 메시지를 무시할 가능성이 높습니다.

이 기술의 매우 교활한 모방은 글꼴 크기 및 색상, 배경색 및 간격과 같은 스타일 구성 요소로 웹 문서를 보완하는 데 사용되는 도구인 CSS(Cascading Style Sheets)를 중심으로 이루어집니다. 잘못된 플레이는 원시 HTML 코드에서 라틴어와 아랍어 스크립트를 병합하기 위해 CSS를 잘못 처리하는 것입니다. 이러한 스크립트는 반대 방향으로 흐르므로 사기꾼이 위에서 언급한 텍스트 반전 효과를 더 쉽게 얻을 수 있습니다. 결과적으로 메시지는 사람이 읽을 수 있는 상태로 유지하면서 방어를 속입니다.

해킹된 SharePoint 계정 악용

일부 피싱 조직은 손상된 SharePoint 계정을 이용하여 사기를 촉발합니다. 사악한 논리는 SEG가 Microsoft의 평판 좋은 협업 플랫폼과 관련된 도메인을 신뢰한다는 사실에 달려 있습니다. 이메일 본문의 링크는 SharePoint 사이트로 연결됩니다. 따라서 보안 시스템은 이를 무해한 것으로 취급하고 메시지를 무시합니다.

문제는 범죄자들이 잘못된 OneNote 문서를 표시하기 위해 방문 페이지의 용도를 변경한다는 것입니다. 그러면 비즈니스용 OneDrive 로그인 양식으로 위장된 자격 증명 피싱 페이지로 리디렉션됩니다. 의심하지 않는 사용자가 입력한 인증 세부 정보는 즉시 사기꾼의 서버로 전송됩니다.

피싱에 대한 인식을 높여 안전을 유지하세요.

이메일 필터는 의심할 여지 없이 가치가 있습니다. 그들은 받은 편지함으로 던져진 스케치 메시지의 대부분을 플러시합니다. 그러나 위에서 설명한 실제 공격에서 배워야 할 교훈은 이러한 시스템에 무조건 의존하는 것은 위험한 비즈니스라는 것입니다.

"숙제를 하고 개인 피싱 방지 위생을 개선하기 위해 몇 가지 추가 팁을 따라야 합니다." – VPNBrains의 수석 기술 전문가이자 공동 설립자이자 연구 책임자인 Andrew Gitt가 언급한 최근 인터뷰에서.

Andrew는 또한 인터뷰에서 다음과 같은 권장 사항을 제공합니다.

• 이메일로 도착하는 링크를 클릭하지 마십시오.
• 낯선 사람에게서 받은 첨부 파일을 열지 마십시오.
• 로그인 페이지에 사용자 이름과 비밀번호를 입력하기 전에 HTTPS인지 HTTP인지 확인하십시오.
• 이메일이 합법적으로 보이고 포함된 링크를 클릭하는 위험을 감수하기로 결정했다면 먼저 URL에 오타 및 기타 경품이 있는지 확인하십시오.
• 수신 이메일을 주의 깊게 읽고 철자, 문법 및 구두점 오류가 있는지 텍스트를 확인하십시오. 이러한 실수를 발견하면 메시지가 사기일 가능성이 큽니다.
• 무언가를 하도록 압력을 가하는 이메일을 무시하고 휴지통에 버리십시오. 예를 들어, 피싱 공격자들은 사람들을 실수로 만들기 위해 일종의 기한을 정하는 경우가 많습니다. 그러한 속임수에 넘어가지 마십시오.
• 일상 업무와 관련하여 규범에서 벗어난 내용의 이메일을 주의하십시오.
• 상급 관리자로부터 전신환 송금을 요청하는 메시지를 받으면 전화 또는 직접 연락하여 다시 확인하십시오. 동료의 이메일 계정을 탈취한 사기꾼과 거래하고 있을 가능성이 있습니다.
• 소셜 네트워크에서 공유하는 정보를 염두에 두십시오. 악의적인 행위자는 OSINT(오픈 소스 인텔리전스)를 수행하는 데 능숙하므로 공개적으로 사용 가능한 개인 데이터를 사용자에게 불리하게 만들 수 있습니다.
• 임원인 경우 직원을 위한 피싱 인식 교육 프로그램을 설정해야 합니다.
• 방화벽을 활성화하고 피싱 방지 기능이 탑재된 효과적인 온라인 보안 소프트웨어를 설치하십시오.

당신은 또한 좋아할 수 있습니다: 사이버 공격, 추적 및 맬웨어로부터 PC를 보호하는 방법?

마지막 단어

화이트 햇이 새로운 예방 메커니즘을 제시할 때마다 사이버 범죄자는 최선을 다해 그들을 능가합니다. 이와 관련하여 새롭고 매우 유망한 보안 트렌드는 인공 지능과 머신 러닝을 사용하여 피싱 시도를 식별하는 것입니다. 바라건대, 이 접근 방식은 방어가 아무리 정교하더라도 공격 벡터보다 한 발 앞서 방어를 유지합니다.

현재로서는 가장 좋은 방법은 경계를 늦추지 않고 대부분의 경우 경이롭게 작동하는 기존의 피싱 방지 도구를 최대한 활용하는 것입니다.