유명 기업용 솔루션 중 하나인 젠데스크가 교묘한 피싱 도구가 됐다. 유명한데다가 무료 서브도메인을 설정할 수 있게까지 해줘서 공격자들 사이에서 각광 받고 있다.
3줄 요약
1. 고객 관리 솔루션 젠데스크, 피싱 도구로도 활용됨.
2. 무료 서브도메인 만든 후 가짜 티켓 발송한다고 속임.
3. 우리 회사(혹은 잘 아는 회사)에서 보낸 티켓, 함부로 열면 안 됨.
[보안뉴스 문가용 기자] 기업들 사이에서 널리 사용되는 고객 관리 솔루션 젠데스크(Zendesk)를 악용하는 사례가 늘고 있다. 젠데스크가 유명 소프트웨어라는 점과, 무료 체험을 통해 서브도메인을 생성할 수 있게 해준다는 점이 공격자들에게 적극 악용되고 있다.
[이미지 = gettyimagesbank]
보안 업체 엑스비질(XVigil)에 의하면 공격자들이 젠데스크를 선호하는 이유가 있다고 한다. “젠데스크는 기본적으로 B2B 마케팅 도구입니다. 그렇기에 이메일 주소를 쉽게 수집할 수 있습니다. 또 티켓팅 기능(각종 요청과 서비스를 추적하는 것을 말한다)을 원활히 수행해야 하기 때문에 이메일 확인 절차가 다소 느슨하기도 합니다. 이걸 공격자들이 정확히 간파한 겁니다.”
공격 시나리오
엑스비질에 의하면 가장 일반적인 공격 순서는 다음과 같다고 한다.
1) 공격 표적이 될 회사를 정한다.
2) 젠데스크에 회원 가입을 하고, 그 회사와 유사한 URL을 등록함으로써 서브도메인을 설정한다.
3) 이 때 젠데스크 측에서는 3가지 정보(이메일 주소, 이름, 회사 규모)를 요구한다.
4) 정보들을 전부 입력하고 나서는 젠데스크 인스턴스 이름을 정할 수 있게 된다. 공격자는 공격 표적으로 정한 회사와 최대한 유사한 이름을 선택한다.
5) 서브도메인 이름을 정해 등록하고 나면 랜딩페이지가 생성된다.
6) 이제 공격자는 1)번의 회사가 가졌을 법한 서브도메인을 보유하게 된다. 관리자 권한도 갖고 있으며, 사용자들도 추가할 수 있다. 사용자 추가를 위해서는 초대 이메일을 발송하는 게 보통이다.
7) 초대 이메일을 발송하고 나서는 사용자 반응을 모니터링할 수 있게 되며, 여기에 응한 사용자에게 티켓을 할당하겠다고 접근하는 것도 가능해진다.
8) 물론 ‘티켓 할당’은 미끼일 뿐이다. 진짜 목적은 피해자를 피싱 페이지로 연결시키는 것이다.
(여기서 말하는 티켓은 공연장에 입장할 때 필요한 ‘표’를 말하는 것이 아니다. IT 지원 팀에게 들어가는 각종 요청이나 임무, 신고 내용 등을 말한다. 쉽게 말해 ‘서비스 요청’이기도 하고, ‘고장 신고’이기도 하다. 특정 문제가 발생할 때 자동으로 티켓이 생성되게(즉, IT 팀에 요청이 자동으로 들어가도록) 만들어두는 경우가 점점 많아지고 있다.)
“젠데스크는 사용자를 초대할 때 이메일 확인 절차를 거치지 않는다는 특징도 가지고 있습니다. 공격자가 젠데스크로 서브도메인을 만들고 스스로 관리자가 된 후에는 무작위 계정을 멤버로 초대할 수 있게 된다는 뜻이 됩니다. 그러므로 특정 회사에 진짜 같은 티켓을 전송할 수 있게 되는 것이고, 이를 통해 자연스럽게 피싱 공격을 실시하게 되는 것입니다.” 엑스비질의 설명이다.
실제 이런 공격이 일어났을 때 나타나는 현상들이 있었다. “모든 이메일 티켓(즉 고객 문의나 요청)이 스팸으로 표시되지 않고, 기본 메일함에 도달했습니다. 피해자가 속을 가능성이 한결 높아진다는 의미가 됩니다. 공격할 회사를 선정하여, 그 회사의 것으로 보이는 서브도메인을 만들고 나서, 그 회사 직원들에게 티켓을 보낸다고 상상해보세요. 그런데 그 티켓이 메일함에 잘 들어오기까지 하다니, 다들 자기 회사에서 뭔가 요청을 보낸 것으로 이해하게 됩니다.”
보통 보안 솔루션들이 젠데스크를 신뢰하기 때문에 나타나는 현상이다. “젠데스크는 너무 잘 알려진 브랜드라 대부분의 환경에서 화이트리스트에 올라가 있습니다. 확인과 검증 절차가 간소화 되고, 이메일 필터에도 걸리지 않죠.”
위와 같이 젠데스크를 악용해 공격을 실시할 경우 피해자는 데이터 침해는 물론 금전적 손실까지 입을 수 있게 된다고 엑스비질은 경고한다. “만약 피해를 입은 기업이 규제가 심한 산업에 속해 있다면 법적 책임을 물어야 할 수도 있습니다.”
그래서?
엑스비질은 “낯선 젠데스크 인스턴스들 차단하도록 설정(블랙리스팅)하는 게 좋다”고 권한다. “그렇게 하면 회사를 사칭한 로그인 페이지에 직원들이 접속하는 일이 적어집니다. 또 시중에 나와 있는 젠데스크 서브도메인 모니터링 및 이상 탐지 솔루션을 도입하는 것도 좋은 선택일 수 있습니다. 동시에 젠데스크를 이용한 피싱 공격이 성행하고 있다는 것과, 어떤 식으로 진행되는지 임직원들에게 알려주는 것도 큰 도움이 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 고객 관리 솔루션 젠데스크, 피싱 도구로도 활용됨.
2. 무료 서브도메인 만든 후 가짜 티켓 발송한다고 속임.
3. 우리 회사(혹은 잘 아는 회사)에서 보낸 티켓, 함부로 열면 안 됨.
[보안뉴스 문가용 기자] 기업들 사이에서 널리 사용되는 고객 관리 솔루션 젠데스크(Zendesk)를 악용하는 사례가 늘고 있다. 젠데스크가 유명 소프트웨어라는 점과, 무료 체험을 통해 서브도메인을 생성할 수 있게 해준다는 점이 공격자들에게 적극 악용되고 있다.
[이미지 = gettyimagesbank]
보안 업체 엑스비질(XVigil)에 의하면 공격자들이 젠데스크를 선호하는 이유가 있다고 한다. “젠데스크는 기본적으로 B2B 마케팅 도구입니다. 그렇기에 이메일 주소를 쉽게 수집할 수 있습니다. 또 티켓팅 기능(각종 요청과 서비스를 추적하는 것을 말한다)을 원활히 수행해야 하기 때문에 이메일 확인 절차가 다소 느슨하기도 합니다. 이걸 공격자들이 정확히 간파한 겁니다.”
공격 시나리오
엑스비질에 의하면 가장 일반적인 공격 순서는 다음과 같다고 한다.
1) 공격 표적이 될 회사를 정한다.
2) 젠데스크에 회원 가입을 하고, 그 회사와 유사한 URL을 등록함으로써 서브도메인을 설정한다.
3) 이 때 젠데스크 측에서는 3가지 정보(이메일 주소, 이름, 회사 규모)를 요구한다.
4) 정보들을 전부 입력하고 나서는 젠데스크 인스턴스 이름을 정할 수 있게 된다. 공격자는 공격 표적으로 정한 회사와 최대한 유사한 이름을 선택한다.
5) 서브도메인 이름을 정해 등록하고 나면 랜딩페이지가 생성된다.
6) 이제 공격자는 1)번의 회사가 가졌을 법한 서브도메인을 보유하게 된다. 관리자 권한도 갖고 있으며, 사용자들도 추가할 수 있다. 사용자 추가를 위해서는 초대 이메일을 발송하는 게 보통이다.
7) 초대 이메일을 발송하고 나서는 사용자 반응을 모니터링할 수 있게 되며, 여기에 응한 사용자에게 티켓을 할당하겠다고 접근하는 것도 가능해진다.
8) 물론 ‘티켓 할당’은 미끼일 뿐이다. 진짜 목적은 피해자를 피싱 페이지로 연결시키는 것이다.
(여기서 말하는 티켓은 공연장에 입장할 때 필요한 ‘표’를 말하는 것이 아니다. IT 지원 팀에게 들어가는 각종 요청이나 임무, 신고 내용 등을 말한다. 쉽게 말해 ‘서비스 요청’이기도 하고, ‘고장 신고’이기도 하다. 특정 문제가 발생할 때 자동으로 티켓이 생성되게(즉, IT 팀에 요청이 자동으로 들어가도록) 만들어두는 경우가 점점 많아지고 있다.)
“젠데스크는 사용자를 초대할 때 이메일 확인 절차를 거치지 않는다는 특징도 가지고 있습니다. 공격자가 젠데스크로 서브도메인을 만들고 스스로 관리자가 된 후에는 무작위 계정을 멤버로 초대할 수 있게 된다는 뜻이 됩니다. 그러므로 특정 회사에 진짜 같은 티켓을 전송할 수 있게 되는 것이고, 이를 통해 자연스럽게 피싱 공격을 실시하게 되는 것입니다.” 엑스비질의 설명이다.
실제 이런 공격이 일어났을 때 나타나는 현상들이 있었다. “모든 이메일 티켓(즉 고객 문의나 요청)이 스팸으로 표시되지 않고, 기본 메일함에 도달했습니다. 피해자가 속을 가능성이 한결 높아진다는 의미가 됩니다. 공격할 회사를 선정하여, 그 회사의 것으로 보이는 서브도메인을 만들고 나서, 그 회사 직원들에게 티켓을 보낸다고 상상해보세요. 그런데 그 티켓이 메일함에 잘 들어오기까지 하다니, 다들 자기 회사에서 뭔가 요청을 보낸 것으로 이해하게 됩니다.”
보통 보안 솔루션들이 젠데스크를 신뢰하기 때문에 나타나는 현상이다. “젠데스크는 너무 잘 알려진 브랜드라 대부분의 환경에서 화이트리스트에 올라가 있습니다. 확인과 검증 절차가 간소화 되고, 이메일 필터에도 걸리지 않죠.”
위와 같이 젠데스크를 악용해 공격을 실시할 경우 피해자는 데이터 침해는 물론 금전적 손실까지 입을 수 있게 된다고 엑스비질은 경고한다. “만약 피해를 입은 기업이 규제가 심한 산업에 속해 있다면 법적 책임을 물어야 할 수도 있습니다.”
그래서?
엑스비질은 “낯선 젠데스크 인스턴스들 차단하도록 설정(블랙리스팅)하는 게 좋다”고 권한다. “그렇게 하면 회사를 사칭한 로그인 페이지에 직원들이 접속하는 일이 적어집니다. 또 시중에 나와 있는 젠데스크 서브도메인 모니터링 및 이상 탐지 솔루션을 도입하는 것도 좋은 선택일 수 있습니다. 동시에 젠데스크를 이용한 피싱 공격이 성행하고 있다는 것과, 어떤 식으로 진행되는지 임직원들에게 알려주는 것도 큰 도움이 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
