.jpg)
.gif)
구글 독스의 합법적인 문서 공유 시스템 악용한 공격
메일 제목에 지인 이름 넣어 클릭 유도…구글 행동에 나서
[보안뉴스 문가용 기자] 구글 사용자들을 겨냥한 피싱 공격이 요 며칠 사이에 계속해서 일어나고 있다. 공격자들은 구글 독스에서 공식으로 지원하는 제3자 공유 원리를 활용하고 있는데, 문제는 이 피싱 공격이 매우 그럴듯해 보여 클릭을 할 수밖에 없다는 것이다.
ⓒ iclickart
먼저 공격 대상들은 이메일로 메일을 한 통 받는데, 제목은 ‘아무개가 구글 독스를 통해 당신과 문서를 공유하고자 합니다’라는 평범한 구글 알림 메시지다. 여기서 아무개는 당연히 공격 대상이 아는 사람이다. 메일을 열면 공유문서인 것처럼 보이는 링크가 나오고, 클릭하면 구글 로그인을 하라는 화면이 뜬다.
이 단계에서 로그인을 하면 구글 계정의 연락처에 등록되어 있는 모든 사람들에게 스팸 메일이 도착하기 시작한다. 이론상 공격자는 연락처뿐 아니라 사용자가 기존에 보낸 메시지와 민감한 정보도 훔쳐낼 수 있는데, 아직까지 이런 사례는 보고된 바가 없다.
이 피싱 공격의 핵심은 구글의 정상적인 문서 공유 시스템을 그대로 활용한다는 것이다. 그러므로 악성 의도를 미리 간파한다는 게 매우 어렵다. 메일 제목부터 악성 링크까지, 사용된 아이콘과 알림 메시지 등은 전부 구글의 정상 메시지 및 아이콘과 똑같다. 지메일조차 이 메시지를 필터링 하지 못한다.
하지만 일부 피해자들이 이러한 악성 메시지에서 이상한 점을 발견했다고 알려왔다. 메일을 받는 사람의 주소에 hhhhhhhhhhhhhh와 같은 문자열과 mailinator.com이라는 도메인 주소가 적발된 것이다. 하지만 이는 일부 사용자에 한해서이고, 이러한 현상이 없다고 완벽하게 안전하다고 말할 수는 없다.
다행히 구글은 이런 점을 빠르게 파악해 픽스를 발표했다. 구글은 공식 발표를 통해 “구글은 지인으로 위장한 공격자들이 구글 독스 공유 기능을 악용해 사용자들을 공격해온 것을 파악하고 즉각 행동에 나섰다”고 하며 “공격에 연루된 계정들을 전부 파기시켰고, 가짜 페이지와 세이프 브라우징(Safe Browsing)을 통한 업데이트 푸시 알람 역시 해지시켰다”고 설명했다.
“또한 이러한 일종의 스푸핑 공격이 다시 발생하지 않도록 하기 위해 후속 조치 팀이 계속해서 작업을 진행하고 있습니다. 사용자들께서도 앞으로 지메일을 통한 피싱 공격을 발견할 경우 저희에게 알려주시길 바랍니다. 만약 공격에 당했다고 판단된다면, http://g.co/SecurityCheckup에 들려 확인하실 수 있습니다.”
또한 구글은 이미 공격을 받은 피해자에게 1) 구글 계정 허용(permission) 설정으로 가서 가짜 구글 독스 애플리케이션으로의 접근을 전부 금지시킬 것과, 2) 2중 인증 옵션을 사용할 것을 추가로 권장하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]
메일 제목에 지인 이름 넣어 클릭 유도…구글 행동에 나서
[보안뉴스 문가용 기자] 구글 사용자들을 겨냥한 피싱 공격이 요 며칠 사이에 계속해서 일어나고 있다. 공격자들은 구글 독스에서 공식으로 지원하는 제3자 공유 원리를 활용하고 있는데, 문제는 이 피싱 공격이 매우 그럴듯해 보여 클릭을 할 수밖에 없다는 것이다.
ⓒ iclickart
먼저 공격 대상들은 이메일로 메일을 한 통 받는데, 제목은 ‘아무개가 구글 독스를 통해 당신과 문서를 공유하고자 합니다’라는 평범한 구글 알림 메시지다. 여기서 아무개는 당연히 공격 대상이 아는 사람이다. 메일을 열면 공유문서인 것처럼 보이는 링크가 나오고, 클릭하면 구글 로그인을 하라는 화면이 뜬다.
이 단계에서 로그인을 하면 구글 계정의 연락처에 등록되어 있는 모든 사람들에게 스팸 메일이 도착하기 시작한다. 이론상 공격자는 연락처뿐 아니라 사용자가 기존에 보낸 메시지와 민감한 정보도 훔쳐낼 수 있는데, 아직까지 이런 사례는 보고된 바가 없다.
이 피싱 공격의 핵심은 구글의 정상적인 문서 공유 시스템을 그대로 활용한다는 것이다. 그러므로 악성 의도를 미리 간파한다는 게 매우 어렵다. 메일 제목부터 악성 링크까지, 사용된 아이콘과 알림 메시지 등은 전부 구글의 정상 메시지 및 아이콘과 똑같다. 지메일조차 이 메시지를 필터링 하지 못한다.
하지만 일부 피해자들이 이러한 악성 메시지에서 이상한 점을 발견했다고 알려왔다. 메일을 받는 사람의 주소에 hhhhhhhhhhhhhh와 같은 문자열과 mailinator.com이라는 도메인 주소가 적발된 것이다. 하지만 이는 일부 사용자에 한해서이고, 이러한 현상이 없다고 완벽하게 안전하다고 말할 수는 없다.
다행히 구글은 이런 점을 빠르게 파악해 픽스를 발표했다. 구글은 공식 발표를 통해 “구글은 지인으로 위장한 공격자들이 구글 독스 공유 기능을 악용해 사용자들을 공격해온 것을 파악하고 즉각 행동에 나섰다”고 하며 “공격에 연루된 계정들을 전부 파기시켰고, 가짜 페이지와 세이프 브라우징(Safe Browsing)을 통한 업데이트 푸시 알람 역시 해지시켰다”고 설명했다.
“또한 이러한 일종의 스푸핑 공격이 다시 발생하지 않도록 하기 위해 후속 조치 팀이 계속해서 작업을 진행하고 있습니다. 사용자들께서도 앞으로 지메일을 통한 피싱 공격을 발견할 경우 저희에게 알려주시길 바랍니다. 만약 공격에 당했다고 판단된다면, http://g.co/SecurityCheckup에 들려 확인하실 수 있습니다.”
또한 구글은 이미 공격을 받은 피해자에게 1) 구글 계정 허용(permission) 설정으로 가서 가짜 구글 독스 애플리케이션으로의 접근을 전부 금지시킬 것과, 2) 2중 인증 옵션을 사용할 것을 추가로 권장하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)