2024-03-29 04:45 (금)
MS, 광범위한 오픈 리다이렉션 피싱 공격 경고
상태바
MS, 광범위한 오픈 리다이렉션 피싱 공격 경고
  • 페소아 기자
  • 승인 2021.08.31 09:56
이 기사를 공유합니다

마이크로소프트는 오픈 리다이렉트 링크를 이용하는 광범위한 자격 증명 피싱 캠페인을 추적하고 있다고 경고하면서 동시에 그러한 체계로부터 방어할 수 있다고 말했다.

더레지스터 보도에 따르면, 마이크로소프트 365 디펜더 위협 인텔리전스 팀은 목요일 블로그 게시물에서 "공격자들은 잘 알려진 생산성 도구 및 서비스를 가장하는 소셜 엔지니어링 미끼와 이러한 링크를 결합하여 사용자를 클릭하도록 유인한다. 이렇게 하면 사용자를 가짜 로그인 페이지로 안내하기 전에 합법적으로 보일 수 있고 일부 자동화된 분석 시스템을 회피하려는 CAPTCHA 확인 페이지를 포함해 일련의 리다이렉션이 발생한다"고 밝혔다.

오픈 리다이렉션은 웹 응용 프로그램이 HTTP 매개변수에 HTTP 요청이 참조된 리소스로 리다이렉션되도록 하는 사용자 제공 URL을 포함하도록 허용한다.

마이크로소프트는 오픈 리다이렉션이 합법적인 용도를 가지고 있다고 주장하며, 영업 및 마케팅 캠페인이 고객을 특정 랜딩 페이지로 유도하고 웹 매트릭스를 수집하는 방식을 지적한다. 그러나 오픈 리다이렉션은 또한 일반적으로 악용되는 문제가 있다.

마이크로소프트에 따르면 이 특정 캠페인의 메시지는 일반적인 패턴을 따르는 경향이 있다. 다음과 같이 형식이 지정된 몇 가지 일반적인 제목 줄을 사용한다.

[수신자 사용자 이름] 1 새 알림

[날짜 및 시간]의 [수신자 도메인 이름] 상태 보고

[날짜 및 시간]에서 [받는 사람 도메인 이름]에 대한 줌 회의

[날짜 및 시간]의 [수신자 도메인 이름] 상태

[날짜 및 시간]에 [수신자 도메인 이름]에 대한 비밀번호 알림

[수취인 사용자 이름] 전자 알림

메시지가 열리면 의도된 알림 메시지를 표시하는 버튼이 표시된다. 버튼은 마우스 포인터가 버튼 위에 있을 때 전체 URL을 간략히 살펴보는 것과 같이 일상적인 확인 수준에서 설득력 있게 보이도록 의도된 방식으로 리다이렉션 매개변수가 추가된 신뢰할 수 있는 도메인에 연결된다.

URL과 추가된 매개 변수가 어떻게 작동하는지 이해하는 사용자는 속지 않을 수 있지만, 그렇지 않은 사용자는 요청에 추가된 모든 매개 변수 데이터에 개의치 않고 처음 신뢰할 수 있는 URL을 보고 모든 것이 정상이라고 생각할 수 있다.

안전성과 합법성에 대해 더 믿을 수 있도록 리다이렉션은 피해자를 구글 reCAPtCHA 페이지로 안내하는데, 마이크로소프트는 이 페이지가 리다이렉션이 끝날 때 피싱 페이지에 대한 동적 검색 및 콘텐츠 확인을 방해한다고 주장한다.

CAPTCHA 퍼즐을 성공적으로 완료하고 피싱 피해자에게 자신이 합법적임을 입증하면 마이크로소프트 오피스 365와 같이 알려진 합법적 서비스인 것처럼 가장하는 웹 사이트를 볼 수 있다. 또한 이 피싱 사이트는 피싱 URL의 매개 변수로 피싱 페이지에 전달된 대상의 전자 메일 주소와 로그인 페이지가 일반적인 Single Sign-On 동작을 구현하는 것처럼 보이도록 회사 로고 또는 기타 브랜딩과 함께 로드된다.

피해자가 암호를 입력하면 그것으로 끝이 아니다. 이후 세션 시간이 초과되었음을 선언하고 방문자에게 암호를 다시 입력하도록 하는 오류 메시지와 함께 페이지가 새로 고쳐진다. 이는 스팸 법률 준수를 보장하기 위해 이메일 마케팅 목록 서비스에서 사용하는 이중 선택과 다른 데이터 유효성 검사 관행이다.

암호 확인을 하려는 피싱 피해자는 합법적인 소포스 보안 웹 사이트로 리다이렉션되어 검색하도록 통보받은 이메일 메시지가 릴리즈되었음을 허위로 표시한다.

마이크로소프트는 이 캠페인과 관련된 최소 350개의 고유한 피싱 도메인을 탐지했다고 밝혔다. 이 스키마는 그 이상의 기능을 가지고 있는 것으로 보인다. 리다이렉션 URL은 필요에 따라 피싱 도메인을 즉시 생성하는 도메인 생성 알고리즘에서 비롯된다.

마이크로소프트는 Defender for Office 365 소프트웨어가 모든 리다이렉션 링크를 검사하는 기본 제공 샌드박스를 포함하므로 적절한 보호 기능을 제공한다고 주장한다. 디펜더는 랜딩 페이지에 캡차 검증이 필요한 경우에도 그렇게 한다고 주장한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★