휴가 시즌 동안 북미인을 겨냥한 피싱 이메일 키트!

Akamai의 연구원들은 휴가 시즌 동안 북미 고객을 겨냥하여 휴가 거래로 유인하는 고급 피싱 키트를 발견했습니다.

Akamai 분석가들에 따르면, 이 공격은 9월 중순부터 시작되어 할로윈과 노동절에 집중되었으며, 10월 내내 계속되었습니다.

또한, 이 피싱 키트는 우회 접근 방식을 사용하고 비대상자를 피싱 페이지에서 멀리하도록 시스템을 사용합니다.

더 흥미로운 점은 이 키트가 각 대상을 새로운 피싱 페이지 URL로 리디렉션하는 토큰 기반 시스템을 사용한다는 것입니다. 이와 더불어, 이러한 피싱 이메일의 기본 아이디어는 신뢰할 수 있는 브랜드로부터 상품을 받을 기회입니다.

피싱 이메일의 링크는 여러 번의 리디렉션을 통해 피싱 웹사이트로 이동하기 때문에 경고 신호를 주지 않으며, 동시에 URL 단축기가 대부분의 URL을 숨깁니다.

게다가, 범죄자들은 Google, Amazon의 AWS 및 Microsoft의 Azure와 같은 클라우드 서비스를 악용하고, 이들의 이름을 사용하여 보호 시스템을 우회합니다.

또한, 피싱 웹사이트를 방문하는 모든 사람은 짧은 설문조사를 완료한 후 약속된 상품을 받게 되며, 5분 타이머가 있어 짧은 설문조사를 받는 사람들은 긴박감을 느끼게 됩니다.

읽기: Mirai RapperBot 맬웨어가 온라인 게임 서버를 DDoS 공격

공격자들이 모방하는 브랜드에는 Delta 항공사, 스포츠 용품 회사 Dick’s, 수하물을 만드는 Tumi, 도매 클럽 Costo 및 Sam’s club이 포함됩니다. 피싱 공격을 더 성공적으로 만들기 위해 공격자들은 수상한 상품을 자랑하는 가짜 사람 리뷰를 사용했습니다.

피싱 공격을 더 성공적으로 만들기 위해 공격자들은 수상한 상품을 자랑하는 가짜 사람 리뷰를 사용했습니다.

상품을 받은 후 피해자들은 배송비를 지불하라는 요청을 받으며, 이를 위해 카드 정보를 입력해야 합니다. 실제로 배송될 상품은 없지만, 악의적인 행위자들에 의해 결제 카드 정보가 도난당합니다.

Akamai 보안 회사에 따르면, 이러한 피싱 도메인을 방문하는 사용자 중 약 89%가 미국 및 캐나다에서 왔습니다. 또한, 사용자의 위치에 따라 피싱 도메인은 그 지역에서 사용 가능한 로컬 브랜드를 모방한 다른 피싱 웹사이트로 안내합니다.

각 피싱 이메일은 앵커가 있는 랜딩 페이지로 연결되는 다른 링크를 포함하고 있습니다. 앵커는 사용자를 연결된 페이지의 특정 부분으로 리디렉션하는 링크입니다. 그러나 이 피싱 공격에서는 앵커 태그가 피싱 랜딩 페이지에서 대상이 리디렉션될 URL을 재구성하는 데 사용되는 토큰을 구성합니다.

읽기: 러시아의 사랑 해커들이 Somnia 랜섬웨어로 우크라이나 조직을 공격

Akamai는 HTML 앵커 뒤의 값이 HTTP 매개변수로 간주되지 않으며 서버로 전송되지 않을 것이라고 언급하지만, 이 값은 여전히 피해자의 브라우저에서 실행되는 JavaScript 코드에 의해 접근 가능합니다.

피싱 사기의 상황에 대해, HTML 앵커 뒤에 배치된 값은 이러한 값이 악의적인지 여부를 확인하는 보안 시스템에 의해 무시되거나 놓칠 수 있습니다. 마찬가지로, 이 값은 트래픽 검사 도구에 의해 놓칠 것입니다.

검사 도구 및 보안 시스템은 이 토큰을 놓치므로 공격자에게 위험을 초래하지 않으며, 대신 연구원, 분석가, 원치 않는 트래픽 및 무작위 사람들을 피싱 랜딩 페이지에서 멀리하는 데 도움이 됩니다.

따라서 비대상자를 제외하는 것 외에도, 토큰은 피해자를 추적하고 공격 성과 등을 기록하는 데 사용될 수 있습니다.

따라서 알려진 모든 방법을 사용하고 탐지를 피하는 것은 북미 및 캐나다에 강력한 위협이 됩니다!

읽기: Qualcomm, Snapdragon 8 Gen 2 플래그십 SoC 발표