먼저 우리가 받은 메시지에 대한 기본적인 개요부터 살펴보겠습니다

Spam email
스팸 이메일
적절한 필터 설정 덕분에 이 메일은 즉시 스팸 폴더로 이동되었습니다. 하지만 모든 시스템에서 이러한 설정이 활성화되어 있거나 올바르게 구성되어 있는 것은 아닙니다. 따라서 기업 메일함의 60%와 마찬가지로, 우리 메일함에도 이러한 설정이 되어 있지 않다고 가정해 봅시다.

다음과 같은 특징을 확인할 수 있습니다.
1. 행동 유도 문구: “조치가 필요합니다(Action Required)”
2. “중요도” 조작: “중요한 메시지가 지연되었습니다(Important Messages Delayed)”
3. 발신자 정보 조작: 발신자와 수신자가 동일합니다

발신자는 맞춤형 SMTP 메시지를 사용하여 위장되었습니다. 또한 원본 이메일 헤더에서 확인할 수 있듯이, 프록시 서버를 통과했으며 파키스탄의 한 교육 기관에서 유출된 인증 정보를 사용했습니다:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. 첫 화면

메시지에 포함된 링크를 열어보겠습니다. 경고: 의심스러운 링크는 기기에서 절대 열지 마십시오. 바이러스가 포함되어 있을 수 있습니다.

Scam "Mail Portal"
사기 “메일 포털”

링크 형식은 다음과 같았습니다: https://****.gitlab.io/#clients@pwn-all.net

왜 링크에 “GitLab”이 표시될까요?

공격자가 GitLab의 정적 웹사이트 호스팅 기능을 악용했기 때문입니다. 호스팅 자체는 특별한 일이 아니지만, gitlab.io 도메인에 부여된 신뢰도가 해당 도메인의 신뢰도를 높여주고 일부 시스템의 필터를 우회하는 데 도움이 됩니다.

1단계. 자세히 살펴보기

이 링크를 클릭하면 어떤 일이 일어나는지, 그리고 왜 우리 웹사이트의 홈페이지(비록 약간 어색하긴 하지만)가 표시되는지 살펴보겠습니다.

Fake mail portal displaying the spoofed company homepage in the background

공격자가 다음과 같은 목적으로 합법적인 서비스를 이용하고 있음을 알 수 있습니다:
Google 및 ClearBit: 파비콘
가져오기 Thum: 웹사이트의 1200픽셀 너비 스크린샷 가져오기

이는 주로 일반 사용자가 가짜 웹사이트에 대한 신뢰도를 높이도록 하기 위한 것으로, 사용자가 익숙한 로고와 배경에 익숙한 회사 웹사이트를 보게 하기 위함입니다.

2단계. 데이터 전송

우리가 주의를 기울이지 않고 정보를 입력한 일반 사용자라고 가정해 봅시다. 그 다음에는 어떤 일이 일어날까요?

Outbound network requests triggered after the victim submits their credentials

여기서 이미 다음과 같은 제3자 서비스에 대한 참조를 확인할 수 있습니다:
1. ipinfo — 사용자의 IP 주소에 대한 정보(구체적으로는 국가, 지역, 조직, 대략적인 위치, 시간대, 우편번호)를 수집하기 위함입니다. 아마도 이는 향후 로그인 시 사용할 프록시나 VPN을 결정하거나, 다른 사회공학 기법을 위한 이메일을 준비하기 위한 것으로 보입니다.
2. Google DNS — 메일함의 진입점이 어디인지 나타내는 MX 레코드를 얻기 위함입니다. 아마도 SMTP를
통해 인증을 시도하기 위함일 것입니다. 3. 요청이 전송되는 대상은 프록시가 아니라 실제로는 공격자의 웹 서버입니다.

그렇다면 이 서버에 대한 페이로드에는 무엇이 포함되어 있을까요?

Data payload sent from the phishing page to the attacker's server

기본적으로 표준 세트입니다. 하지만... 서버의 응답은 표준적이지 않았습니다.

Response
응답

응답에는 데이터가 저장된 위치의 경로가 포함되어 있었습니다. 농담처럼 보일 수도 있겠지만, 결코 그렇지 않습니다.

3단계. 내부

Inside the attacker's collected-data store showing the operator's own test entries

공격자의 놀라울 정도로 어리석은 실수와 연구진의 믿기 힘든 행운. 여기서 우리는 공격자가 키프로스의 IP 주소를 사용하여 직접 수행한 것으로 보이는 테스트를 즉시 확인할 수 있습니다. 또한 키프로스 IP 주소로는 일반적이지 않은 시간대, 즉 서아프리카 표준시(WAST) 확인됩니다. 이는 가설적으로 스팸 발송자의 실제 위치를 암시할 수 있습니다.

Log entry showing a Cyprus IP address paired with a West Africa time zone

그리고, 뭐, 운이 좋았던 것 같습니다. 그의 로그를 확인한 결과, 나이지리아 라고스에서 반복적으로 나타나는 IP 주소를 파악할 수 있었습니다.

Log entry revealing a recurring IP address from Lagos, Nigeria

그리고 나이지리아에서 온 IP 주소를 다시 발견했습니다. 이 시점에서 우리는 이것이 스팸 발송자 본인이 직접 수행한 테스트였다고 확신할 수 있습니다.

안타깝게도 은행 직원, 도서관 직원, 부동산 중개업소 직원 등 여러 명이 이 속임수에 속아 넘어갔습니다. 스팸 발송자는 아마도 자신의 로그를 지우고 있었던 것으로 보입니다. 피해자와 호스팅 제공업체에는 이미 해당 사실을 통보했습니다.

여러분이 이러한 사기에 속지 않도록 돕기 위해, 당사는 이메일 클라이언트용 플러그인 및 기업 사용자를 위한 데이터 유출 모니터링 서비스 형태의 기업용 솔루션을 제공합니다. 또한 600개 이상의 출처에 걸쳐 데이터 도용자, 해킹당한 웹사이트, 다크 웹, 텔레그램, 디스코드 등의 게시물에서 자신의 데이터를 검색할 때 기밀성과 개인정보 보호에 중점을 둔 개인용 솔루션도 마련되어 있습니다. DarkWeb Monitor에 대해 자세히 알아보려면 링크를 클릭하세요.

4단계. 권장 사항

유사한 피싱 이메일이 사용자의 메일함으로 전달되는 것을 방지하려면, SMTP 게이트웨이 수준에서 엄격한 발신자 인증 검증을 시행하십시오.

권장 조치:

  • 다음으로 끝나는 엄격한 SPF 레코드를 게시하고 유지 관리하십시오. -all.
  • DKIM을 사용하여 모든 발신 이메일에 서명하십시오.
  • 거부 정책을 적용하여 DMARC를 시행하십시오.