보안정보

글로벌 정보보안 리더 윈스

가짜 복직 메모로 직원들을 유혹하는 피싱

침해사고분석팀 2020.11.30

피싱 공격자들은 사내 '복직' 회사 메모로 위장한 피싱 이메일에 소속 조직의 인사부(HR)를 사칭해 직원들의 이메일 자격증을 훔치려 하고 있다.


피싱 캠페인을 발견한 전자 메일 보안 회사인 Abnormal Security의 연구원들이 제공한 통계에 따르면 G Suite 이메일 방어를 우회한 후 수천 개의 표적 개인 우편함에 도착했다.


올해 COVID-19 대유행 동안 대부분의 기업이 직원들에게 원격 근무 정책 변경에 관한 최신 정보를 정기적으로 이메일로 보냈다는 점을 고려할 때, 일부는 사기꾼들의 속임수에 넘어갈 가능성이 높다.


Booby-trapped HR compliance forms


이 캠페인을 통해 전달된 피싱 이메일은 피해자들의 회사 메일 서비스를 스푸핑 하여 음성 메일이 첨부된 자동화된 회사 내부 메모처럼 보이게 설계되었다.


이 전술은 공격의 후반 단계에서 요청을 받았을 때 민감한 정보를 공유할 가능성을 높일 수 있는 메시지가 회사 내에서 발생한다는 것을 타깃에게 확신시키는 데 사용된다.


이메일에는 각 직원의 이름이 포함된 사용자 지정 HTML 첨부 파일이 함께 제공되는데, 이 기술은 수신자에게 이메일이 안전하다고 확신시켜 두 번 생각하지 않고 첨부 파일을 열 수 있도록 하기 위한 것이다.

 

Phishing email
[그림1. 피싱 메일]

 

첨부파일이 열리면, 대상은 원격 작업 정책 변경에 대한 세부 사항과 하단의 승인 링크가 포함된 Sharepoint 문서로 전송된다.


해당 링크를 클릭하면 대상자가 회사 이메일 주소와 암호를 입력해야 하는 HR 컴플라이언스 알림으로 위장된 피싱 랜딩 페이지로 리디렉션된다.


피해자들이 자신의 이메일 자격 증명을 제공하도록 하기 위해 사용되는 추가 전술은 피싱 양식 아래에 그들이 신뢰하지 않는 사람들에게 절대 비밀번호를 주지 말라는 경고를 추가하는 것이다.


Abnormal Security 측은 "수신자가 이 공격의 희생자가 되면 이메일 계정의 로그인 자격 증명이 훼손되고, 공격자는 민감한 기업 및 개인정보에 접근할 수 있게 된다"고 설명했다.

 

Back to work phishing
[그림2. Sharepoint 문서]

 

또한 "이 이메일은 직원들이 이 메시지를 수신했음을 확인하고 양식을 작성해야 하는 시한을 짧게 정했다."라고 덧붙였다.


이달 초 같은 연구원들이 포착한 최근 피싱 캠페인에서는 피싱 공격자들은 미 국세청(IRS)을 사칭해 피해자들을 속여 연체금 등과 관련된 미납금을 내도록 한 행동이 목격됐다.


또한 신용 관리국 보고서 및 사기꾼에게 제공하고 지불할 변경 사항을 더욱 증가시키기 위한 법적 조치를 통해 위협을 받았다.


현재 추수감사절 모임을 목표로 하는 한 대규모 Zoom 피싱 캠페인이 있어 공격자들은 이미 수천 명의 사용자의 자격 증명을 훔칠 수 있었다.

 

출처
https://www.comparitech.com/blog/information-security/security-vulnerabilities-80000-devices-update-now/