피싱 공격에 잘 당할 수밖에 없는 상황들이 있다. ‘구직’과 ‘채용’이라는 상황이 대표적이다. 심리전에 능한 공격자들은 이것을 잘 알고 있고, 빈틈을 잘 파고 들어가기도 한다.
3줄 요약
1. 구직자들은 항상 피싱 공격자들이 즐겨 노리는 심리 상태를 가지고 있음.
2. 최근 크라우드스트라이크라는 유명 업체를 사칭한 피싱 공격이 성행.
3. 취업을 빌미로 앱을 설치하라거나, 비공식 사이트로 유도할 경우 경계 필요.
[보안뉴스 문가용 기자] 보안 업체 크라우드스트라이크(CrowdStrike)는 1월 7일 한 피싱 캠페인을 발견했다. 자사 브랜드 평판을 악용하는 피싱 공격이었기에 관심이 쏠릴 수밖에 없었다. 조사해보니 꽤나 전형적인 피싱 공격이었다.
[이미지 = gettyimagesbank]
“공격자들은 마치 자기들이 크라우드스트라이크라는 회사의 인사 담당자인냥 채용 이메일을 발송했고, 여기에 속은 피해자들은 악성 웹사이트로 유도됐습니다. 거기서 피해자는 가짜 애플리케이션을 다운로드하고 실행까지 하게 됩니다. 이 애플리케이션은 암호화폐 채굴 코드인 XM리그(XMRig)를 설치하면서 공격은 마무리 됩니다.”
피싱 이메일의 제목은 거의 대부분 ‘크라우드스트라이크의 면접 요청’ 정도의 내용을 담고 있는 것으로 조사됐다. 메일 내용도 크게 다르지 않았다. 다만 ‘면접을 위한 앱을 설치해달라’는 요청이 있었고, 해당 앱 설치를 위한 버튼이 달려 있었다. 이를 누르면 악성 웹사이트로 연결된다. 이 사이트에는 실행파일이 하나 호스팅 되어 있다. 실행파일은 암호화폐 채굴 코드인 XM리그의 다운로더다.
다운로더까지 성공적으로 실행되면 XM리그가 가동되는데, 공격자들은 한 번 XM리그를 시작시키는 데 만족하지 않는다. 공격을 지속적으로 실행하기 위해 윈도 ‘시작 프로그램’ 폴더에 배치 스크립트를 하나 심어두기도 한다. 이 스크립트는 윈도가 시작될 때마다 XM리그를 실행한다. 그러면서 피해자의 컴퓨팅 자원을 통해 공격자의 암호화폐 지갑은 풍성해진다.
최근 한국에서는 삼성전자를 사칭한 채용 피싱 사이트도 발견된 바 있다. 졸업과 새해 시즌을 맞이한 구직자들의 취업 열기를 악용한 사례로 분석된다. 이 피싱 사이트에 속아 안내되는 대로 따라가면 피해자는 피싱 사이트로 유도되며, 거기서부터 개인정보 등을 도난당하는 것으로 분석됐다.
그래서?
구직자들은 언제나 피싱 공격자들이 가장 선호하는 먹잇감 중 하나였다. 최근 개발자 직군에 대한 수요가 급증하고 있고, 그래서 개발자들의 몸값이 천정부지로 치솟고 있기 때문에 너도 나도 더 나은 기회를 찾아 헤매는 중이다. 유명한 업체에서 인터뷰를 요청한다는 메일이 왔을 때 혹하기 쉬운 심리 상태인 경우가 많을 수밖에 없다. “이 업체 저 업체에 다 지원서를 넣기도 하기 때문에 크라우드스트라이크에서 인터뷰를 요청했을 때 ‘내가 여기에도 지원했나?’라고 의심하기 보다 ‘내가 지원해놓고 잊어버렸나보다’라고 생각하기 십상입니다. 의심이라는 피싱 방어의 첫 번째 원리가 사라지는 순간이죠.”
크라우드스트라이크는 “그 어떤 경우에서든 스스로 요청하지 않은 파일이나 앱을 다운로드 해서는 안 된다”고 강조한다. “또한 기업들은 피싱 공격에 대한 방어를, 개개인의 투철한 경계심에만 맡길 수 없습니다. 피싱에 대한 교육 콘텐츠를 제공하면서 동시에 의심스러운 네트워크 트래픽을 항상 모니터링하여 구성원들이 악성 유혹에 적게 노출될 수 있도록 도와야 합니다.”
크라우드스트라이크는 IT와 보안 업계에서는 나름 인지도가 있는 편이다. 그렇기 때문에 이번 캠페인 이전에도 ‘크라우드스트라이크 채용’을 미끼로 한 피싱 시도들이 몇 차례 발각된 적이 있다. 그 때도 가짜 인터뷰 제안, 가짜 채용 웹사이트, 가짜 인사부 이메이 주소 등이 활용됐다고 한다. 이에 크라우드스트라이크는 “우리는 인스턴스 메시지나 그룹 채팅을 통해 사람을 뽑지 않는다”고 못을 박았다. “또한 채용을 빌미로 특정 서비스를 구매하라거나 돈을 입금하라고 요구하지도 않습니다.”
피싱 이메일, 가짜 오류 메시지, 배치 스크립트의 상세 내용과 공격의 보다 세밀한 절차, 한국에서의 비슷한 사례는 이번 주 1월 16일에 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 구직자들은 항상 피싱 공격자들이 즐겨 노리는 심리 상태를 가지고 있음.
2. 최근 크라우드스트라이크라는 유명 업체를 사칭한 피싱 공격이 성행.
3. 취업을 빌미로 앱을 설치하라거나, 비공식 사이트로 유도할 경우 경계 필요.
[보안뉴스 문가용 기자] 보안 업체 크라우드스트라이크(CrowdStrike)는 1월 7일 한 피싱 캠페인을 발견했다. 자사 브랜드 평판을 악용하는 피싱 공격이었기에 관심이 쏠릴 수밖에 없었다. 조사해보니 꽤나 전형적인 피싱 공격이었다.
[이미지 = gettyimagesbank]
“공격자들은 마치 자기들이 크라우드스트라이크라는 회사의 인사 담당자인냥 채용 이메일을 발송했고, 여기에 속은 피해자들은 악성 웹사이트로 유도됐습니다. 거기서 피해자는 가짜 애플리케이션을 다운로드하고 실행까지 하게 됩니다. 이 애플리케이션은 암호화폐 채굴 코드인 XM리그(XMRig)를 설치하면서 공격은 마무리 됩니다.”
피싱 이메일의 제목은 거의 대부분 ‘크라우드스트라이크의 면접 요청’ 정도의 내용을 담고 있는 것으로 조사됐다. 메일 내용도 크게 다르지 않았다. 다만 ‘면접을 위한 앱을 설치해달라’는 요청이 있었고, 해당 앱 설치를 위한 버튼이 달려 있었다. 이를 누르면 악성 웹사이트로 연결된다. 이 사이트에는 실행파일이 하나 호스팅 되어 있다. 실행파일은 암호화폐 채굴 코드인 XM리그의 다운로더다.
다운로더까지 성공적으로 실행되면 XM리그가 가동되는데, 공격자들은 한 번 XM리그를 시작시키는 데 만족하지 않는다. 공격을 지속적으로 실행하기 위해 윈도 ‘시작 프로그램’ 폴더에 배치 스크립트를 하나 심어두기도 한다. 이 스크립트는 윈도가 시작될 때마다 XM리그를 실행한다. 그러면서 피해자의 컴퓨팅 자원을 통해 공격자의 암호화폐 지갑은 풍성해진다.
최근 한국에서는 삼성전자를 사칭한 채용 피싱 사이트도 발견된 바 있다. 졸업과 새해 시즌을 맞이한 구직자들의 취업 열기를 악용한 사례로 분석된다. 이 피싱 사이트에 속아 안내되는 대로 따라가면 피해자는 피싱 사이트로 유도되며, 거기서부터 개인정보 등을 도난당하는 것으로 분석됐다.
그래서?
구직자들은 언제나 피싱 공격자들이 가장 선호하는 먹잇감 중 하나였다. 최근 개발자 직군에 대한 수요가 급증하고 있고, 그래서 개발자들의 몸값이 천정부지로 치솟고 있기 때문에 너도 나도 더 나은 기회를 찾아 헤매는 중이다. 유명한 업체에서 인터뷰를 요청한다는 메일이 왔을 때 혹하기 쉬운 심리 상태인 경우가 많을 수밖에 없다. “이 업체 저 업체에 다 지원서를 넣기도 하기 때문에 크라우드스트라이크에서 인터뷰를 요청했을 때 ‘내가 여기에도 지원했나?’라고 의심하기 보다 ‘내가 지원해놓고 잊어버렸나보다’라고 생각하기 십상입니다. 의심이라는 피싱 방어의 첫 번째 원리가 사라지는 순간이죠.”
크라우드스트라이크는 “그 어떤 경우에서든 스스로 요청하지 않은 파일이나 앱을 다운로드 해서는 안 된다”고 강조한다. “또한 기업들은 피싱 공격에 대한 방어를, 개개인의 투철한 경계심에만 맡길 수 없습니다. 피싱에 대한 교육 콘텐츠를 제공하면서 동시에 의심스러운 네트워크 트래픽을 항상 모니터링하여 구성원들이 악성 유혹에 적게 노출될 수 있도록 도와야 합니다.”
크라우드스트라이크는 IT와 보안 업계에서는 나름 인지도가 있는 편이다. 그렇기 때문에 이번 캠페인 이전에도 ‘크라우드스트라이크 채용’을 미끼로 한 피싱 시도들이 몇 차례 발각된 적이 있다. 그 때도 가짜 인터뷰 제안, 가짜 채용 웹사이트, 가짜 인사부 이메이 주소 등이 활용됐다고 한다. 이에 크라우드스트라이크는 “우리는 인스턴스 메시지나 그룹 채팅을 통해 사람을 뽑지 않는다”고 못을 박았다. “또한 채용을 빌미로 특정 서비스를 구매하라거나 돈을 입금하라고 요구하지도 않습니다.”
피싱 이메일, 가짜 오류 메시지, 배치 스크립트의 상세 내용과 공격의 보다 세밀한 절차, 한국에서의 비슷한 사례는 이번 주 1월 16일에 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
