URL이나 첨부파일 대신, 사용자가 직접 검색해 대화 채널에 접근하도록 안내
상담원 사칭하며 본인확인 위해 전화번호, 비밀번호 등 요구
공격자는 해당 정보로 본인인증 및 비밀번호 변경하고 계정 탈취
[보안뉴스 이상우 기자] 최근 카카오 등 국내 대표 서비스 고객센터를 사칭한 피싱 이메일이 대량으로 유포되고 있다. 공격자는 ‘비정상적인 로그인 시도 감지’ 등을 내세우며 특정 카카오톡 채널에 연결해 상담을 유도하고, 피해자와 대화하며 카카오톡 계정을 탈취한다.
▲고객센터를 사칭한 피싱 이메일[자료=온라인 커뮤니티]
우선 공격자는 이메일을 통해 불특정 다수에게 불특정 기기와 서비스에서 사용자의 계정에 대한 비정상적인 로그인 시도가 감지돼 임시 보호조치된다고 설명한다. 주목할 점은 공격자가 사용하는 이메일 주소다. 사이버 공격자는 ‘noreplysq@kakao[.]com’과 같은 이메일 주소를 사용했다. 이는 일반 사용자용 도메인에 발신전용 이메일에서 주로 사용하는 이름(noreply)을 붙여 고객센터에서 사용하는 공식 이메일 주소(noreply@kakaocorp[.]com)를 모방해 사용자를 오해하게 하는 일종의 타이포 스쿼팅 공격이다. 비슷한 예로, 네이버의 경우 일반 사용자는 ‘@naver[.]com’를 쓰는 반면, 네이버에서 보내는 공식 이메일은 ‘@navercorp[.]com’을 사용한다.
평소 계정 보호에 관심있는 사용자라면 이러한 안내 이메일을 꼼꼼히 확인하고 대응할 가능성이 높다. 특히, 이번 공격 유형에서는 URL 등을 통해 특정 사이트로 유도하는 방식 대신, 사용자 직접 카카오톡 채널을 검색해 ‘가짜 상담원’과 대화하도록 유도한다. 공격자는 사전에 ‘로그인 안전센터’, ‘보호조치 센터’ 등의 이름으로 미리 카카오톡 채널을 만들고, 프로필 이미지를 ‘카카오’ 등으로 설정해 사용자를 속였다. 다만, 현재 해당 채널은 모두 정지된 상태다.
▲고객센터를 사칭한 카카오톡 채널[자료=이스트시큐리티]
해당 채널에 접속해 문의할 경우, 공격자는 고객센터 상담원으로 위장해 대화하면서 본인확인을 위해 가입 시 등록한 휴대전화 번호와 카카오 계정 비밀번호를 알려달라고 요구한다. 공격자는 이러한 정보를 통해 아이디/비밀번호 찾기를 시도하거나 비밀번호를 변경해 계정을 탈취한다. 특히, 이 과정에서 피해자에게 ARS를 통한 본인확인이 이뤄질 예정이니 알려주는 숫자 두 자리를 ARS에 입력하라고 하는 모습도 보였다. 휴대전화 메시지나 ARS를 통해 이뤄지는 본인인증 과정에서 인증에 필요한 6자리 숫자 등을 타인에게 알려줄 경우, 타인이 손쉽게 계정에 접근할 수 있기 때문에 사용자는 이 정보가 노출되지 않도록 해야 하며, 특히 이러한 방식은 고령층이나 IT 취약계층을 대상으로 하는 보이스피싱 공격에서도 발생할 수 있기 때문에 주의가 필요하다.
▲상담원을 사칭해 ARS 본인인증 정보를 탈취한다[자료=온라인 커뮤니티]
이런 방식으로 카카오톡 계정을 탈취한 공격자는 해당 계정에 등록된 지인 연락처를 통해 급하게 돈이 필요하다며 전자금융사기를 시도하거나, 연락처를 통해 타인에게 접근한 뒤 또 다른 계정을 탈취하기 위한 피싱 공격을 펼칠 수도 있다.
최근 피싱이나 스미싱 수법은 이처럼 더 교묘하게 진화하고 있다. 이메일이나 문자 메시지에 악성 파일 혹은 악성 URL을 첨부할 경우 각종 보안 체계에 의해 탐지·차단되는 경우가 많으며, 특히 URL이나 첨부파일을 주의하는 등 기본적인 보안수칙을 준수하는 사용자가 늘어나면서 과거와 같은 방법으로는 공격에 성공할 가능성도 점차 낮아지고 있다. 이 때문에 피해자의 심리를 이용하고, 진짜인 것처럼 속이는 사회공학적 기법은 앞으로도 더욱 기승을 부릴 것으로 보인다.
이러한 공격으로부터 피해를 예방하기 위해서 필요한 조치는 2단계 인증을 설정하고, 인증 수단을 철저히 관리하는 것이다. 2단계 인증은 아이디와 비밀번호를 통한 로그인에 더해 스마트폰 앱 등을 통해 추가 인증을 거치는 방식이다. 이를 통해 아이디와 비밀번호가 노출되더라도 계정에 대한 타인의 접근을 통제할 수 있는 것은 물론, 알 수 없는 상대방의 로그인 시도가 발생했을 때도 2단계 인증 알림을 통해 비밀번호가 노출됐다는 사실을 파악할 수 있다. 무엇보다 중요한 것은 2단계 인증에 쓰이는 기기(스마트폰 등)나 정보(6자리 인증코드 등)를 제대로 관리해야 한다는 점이다. 아무리 2단계 인증을 설정했다고 하더라도 타인에게 해당 정보가 넘어갔을 경우 2단계 인증이 무의미해지기 때문이다.
[이상우 기자(boan@boannews.com)]
상담원 사칭하며 본인확인 위해 전화번호, 비밀번호 등 요구
공격자는 해당 정보로 본인인증 및 비밀번호 변경하고 계정 탈취
[보안뉴스 이상우 기자] 최근 카카오 등 국내 대표 서비스 고객센터를 사칭한 피싱 이메일이 대량으로 유포되고 있다. 공격자는 ‘비정상적인 로그인 시도 감지’ 등을 내세우며 특정 카카오톡 채널에 연결해 상담을 유도하고, 피해자와 대화하며 카카오톡 계정을 탈취한다.
▲고객센터를 사칭한 피싱 이메일[자료=온라인 커뮤니티]
우선 공격자는 이메일을 통해 불특정 다수에게 불특정 기기와 서비스에서 사용자의 계정에 대한 비정상적인 로그인 시도가 감지돼 임시 보호조치된다고 설명한다. 주목할 점은 공격자가 사용하는 이메일 주소다. 사이버 공격자는 ‘noreplysq@kakao[.]com’과 같은 이메일 주소를 사용했다. 이는 일반 사용자용 도메인에 발신전용 이메일에서 주로 사용하는 이름(noreply)을 붙여 고객센터에서 사용하는 공식 이메일 주소(noreply@kakaocorp[.]com)를 모방해 사용자를 오해하게 하는 일종의 타이포 스쿼팅 공격이다. 비슷한 예로, 네이버의 경우 일반 사용자는 ‘@naver[.]com’를 쓰는 반면, 네이버에서 보내는 공식 이메일은 ‘@navercorp[.]com’을 사용한다.
평소 계정 보호에 관심있는 사용자라면 이러한 안내 이메일을 꼼꼼히 확인하고 대응할 가능성이 높다. 특히, 이번 공격 유형에서는 URL 등을 통해 특정 사이트로 유도하는 방식 대신, 사용자 직접 카카오톡 채널을 검색해 ‘가짜 상담원’과 대화하도록 유도한다. 공격자는 사전에 ‘로그인 안전센터’, ‘보호조치 센터’ 등의 이름으로 미리 카카오톡 채널을 만들고, 프로필 이미지를 ‘카카오’ 등으로 설정해 사용자를 속였다. 다만, 현재 해당 채널은 모두 정지된 상태다.
▲고객센터를 사칭한 카카오톡 채널[자료=이스트시큐리티]
해당 채널에 접속해 문의할 경우, 공격자는 고객센터 상담원으로 위장해 대화하면서 본인확인을 위해 가입 시 등록한 휴대전화 번호와 카카오 계정 비밀번호를 알려달라고 요구한다. 공격자는 이러한 정보를 통해 아이디/비밀번호 찾기를 시도하거나 비밀번호를 변경해 계정을 탈취한다. 특히, 이 과정에서 피해자에게 ARS를 통한 본인확인이 이뤄질 예정이니 알려주는 숫자 두 자리를 ARS에 입력하라고 하는 모습도 보였다. 휴대전화 메시지나 ARS를 통해 이뤄지는 본인인증 과정에서 인증에 필요한 6자리 숫자 등을 타인에게 알려줄 경우, 타인이 손쉽게 계정에 접근할 수 있기 때문에 사용자는 이 정보가 노출되지 않도록 해야 하며, 특히 이러한 방식은 고령층이나 IT 취약계층을 대상으로 하는 보이스피싱 공격에서도 발생할 수 있기 때문에 주의가 필요하다.
▲상담원을 사칭해 ARS 본인인증 정보를 탈취한다[자료=온라인 커뮤니티]
이런 방식으로 카카오톡 계정을 탈취한 공격자는 해당 계정에 등록된 지인 연락처를 통해 급하게 돈이 필요하다며 전자금융사기를 시도하거나, 연락처를 통해 타인에게 접근한 뒤 또 다른 계정을 탈취하기 위한 피싱 공격을 펼칠 수도 있다.
최근 피싱이나 스미싱 수법은 이처럼 더 교묘하게 진화하고 있다. 이메일이나 문자 메시지에 악성 파일 혹은 악성 URL을 첨부할 경우 각종 보안 체계에 의해 탐지·차단되는 경우가 많으며, 특히 URL이나 첨부파일을 주의하는 등 기본적인 보안수칙을 준수하는 사용자가 늘어나면서 과거와 같은 방법으로는 공격에 성공할 가능성도 점차 낮아지고 있다. 이 때문에 피해자의 심리를 이용하고, 진짜인 것처럼 속이는 사회공학적 기법은 앞으로도 더욱 기승을 부릴 것으로 보인다.
이러한 공격으로부터 피해를 예방하기 위해서 필요한 조치는 2단계 인증을 설정하고, 인증 수단을 철저히 관리하는 것이다. 2단계 인증은 아이디와 비밀번호를 통한 로그인에 더해 스마트폰 앱 등을 통해 추가 인증을 거치는 방식이다. 이를 통해 아이디와 비밀번호가 노출되더라도 계정에 대한 타인의 접근을 통제할 수 있는 것은 물론, 알 수 없는 상대방의 로그인 시도가 발생했을 때도 2단계 인증 알림을 통해 비밀번호가 노출됐다는 사실을 파악할 수 있다. 무엇보다 중요한 것은 2단계 인증에 쓰이는 기기(스마트폰 등)나 정보(6자리 인증코드 등)를 제대로 관리해야 한다는 점이다. 아무리 2단계 인증을 설정했다고 하더라도 타인에게 해당 정보가 넘어갔을 경우 2단계 인증이 무의미해지기 때문이다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
