주요 메뉴 바로가기 (상단) 본문 컨텐츠 바로가기 주요 메뉴 바로가기 (하단)
로고

트위터 블루 이용한 피싱 메일 확산 중

조회수  

102


(출처: bleepingcomputer)

지난 2일 (현지 시간), 트위터를 인수한 일론 머스크(Elon Musk)가 유명인을 대상으로 하던 이용자 검증 방법을 트위터 블루(Twitter Blue) 기능의 일부로 변경하겠다고 발표했다. 이에 따라 지난 4일부터 트위터의 변경 과정을 이용해 다른 트위터 사용자들을 속이는 피싱 메일이 대확산되고 있다.

트위터에는 인증된 사용자에게만 부여하는 블루 틱(blue tick) 배지가 존재한다. 정치인, 연예인, 기업, 공인, 유명인, 언론인 등 대중의 관심이 높은 계정에게 진위를 확인해 주기 위한 목적으로 제공했다. 하지만 해당 기능은 이제 ‘트위터 블루’로 편입돼 유료 구독 시에만 이용할 수 있다.

매달 8 달러(한화 1만 1천 원)만 지불하면 대중의 관심이 높은 계정이 아니라 일반 사용자 계정도 블루 틱을 얻을 수 있다. 전세계에 많이 존재하는 트위터 이용자 수에 비해 블루 틱은 한정된 인원만 제공받을 수 있어 희소 가치가 높았다있다. 그런 탓에 관심이 집중되고 있다. 트위터 블루 구독 시, 블루 틱만 얻는 것이 아니라 추가로 답글, 멘션, 검색에서 더 상위에 배치된다. 게다가 무료 트위터 이용자보다 광고에 덜 노출된다. 멀티미디어 콘텐츠도 일반 사용자보다 더 길게 게시할 수 있다.

악성 행위자들은 현재 상황을 이용해서 인증된 트위터 사용자들을 대상으로 공격하고 있다. 주로 메일을 이용한 피싱 공격이다. 피싱은 개인 정보를 합법적이지 않은 방법으로 취득하려고 시도하는 공격이다.


(출처: Reuters)

해외 IT 전문매체 블리핑컴퓨터(Bleepingcomputer)의 보도에 따르면, 사용자에게 온 트위터 블루 피싱 메일에는 내포된 링크가 존재한다. 링크를 누르면 일론 머스크가 트위터로 공지했던 월 8 달러씩 요금을 부과하겠다는 메시지와 함께 사용자에게 트위터 로그인을 유도하는 웹 페이지가 뜬다. 이는 트위터의 일반 로그인 창과 다를 바 없다. 일반 로그인 창에서 월 8 달러 부과 메시지만 추가된 형태로, 트위터 사용자들이 자칫하면 트위터의 공지처럼 보고 속기 쉽다. 로그인을 유도해서 사용자가 정보를 입력하면 SMS를 통해 2단계 인증 코드를 전송한다. 이 과정에서 악성 행위자들은 트위터 사용자의 트위터 로그인 정보를 취득한다

게다가 전반적으로 피싱 메일이 트위터의 PC 버전 인터페이스와 다를 것이 없어 자칫하면 공식 트위터에서 보낸 메일로 오해하기 쉽다.


(출처: bleepingcomputer)

일반 사용자 로그인 정보를 취득한 악성 행위자는 본래 사용자인 척 사칭해서 다른 사람들을 속게 만들거나, 다른 사용자들에게 계정 정지를 유도하는 가짜 다이렉트 메시지(DM)를 보내기도 한다.

피싱 메일에 예전에나 사용하던 워드프레스의 웹 사이트로 접속시키거나 취약한 플러그인 프로그램을 첨부하는 것도 가능하다. 워드프레스는 웹 페이지를 제작하고 관리하기 위한 오픈 소스의 콘텐츠 관리 시스템이다. 피싱 메일에 이런 것들을 첨부해서 트위터 사용자의 개인 정보만 탈취하는 것이 아니라 추가적인 피해를 유발하는 다른 공격으로도 이어질 수 있다.

반대로 피싱 메일을 보낸 악성 행위자를 추적할 수 있는 방법은 없다. 다른 피싱 메일처럼 이미 해킹한 웹 사이트나 블로그의 서버를 이용해서 악성 행위자들이 메일을 보내고 있기 때문이다. 피싱 메일의 발신처로 지정하기 위한 목적으로 공격자가 서버를 해킹하고, 해킹당한 서버에서 메일을 보내고 있는 것이다. 또는 피싱 메일로 보내기 위해 메일 발신 전용 서버를 만들거나, 이미 공격자들 사이에서 잘 알려진 유령 서버를 이용해서 발신처로 지정하기도 한다.

트위터 블루는 iOS에서 11월 9일 이후 곧 공식적으로 출시할 예정이다. 이는 지난 5일 (현지 시간), 트위터의 공식 체인지로그에서 ‘iOS 출시 임박’ 글자를 띄워 알려졌다. 체인지로그는 웹 사이트나 프로그램, 애플리케이션 제작 등 어떤 프로젝트를 진행할 때 변경 사항을 기록한 것을 말한다.


(출처: Reuters)

일론 머스크는 11월 7일까지 직원들이 트위터 블루 기능을 출시하지 않으면 해고하겠다고 발표했다. 지난 5일, 실제로 해당 기능을 iOS에 잠시 출시했다. 그러나 일론 머스크는 중간 선거를 이유로 11월 9일 이후에 다시 출시하겠다며 말을 번복했다.

반면 안드로이드 업데이트 일정은 아직 밝혀지지 않았다.

일론 머스크는 해고 카드를 쥔 상태로 직원들을 독촉한 결과, 트위터 블루 기능을 iOS 출시 직전 단계까지 진전시켰다. 일론 머스크가 이처럼 독촉한다면 안드로이드도 빠른 시일 내에 개발될 것으로 보인다.

출시 며칠 전인 현재도 이를 이용한 피싱 공격이 성행하는 만큼 출시 직후에 각별히 더 조심해야 한다.

테크플러스 에디터 박효정

tech-plus@naver.com​

[fv0012]

techplus0921@gmail.com

댓글0

300

댓글0

[Techplus] 랭킹 뉴스

  • [용어로 읽는 IT] - 어떻게 줄였을까? 1.5mm 베젤 선보인 아이폰 15 프로
  • 소문과 다르네…취약한 아이폰 15 프로 모델 ‘내구성’
  • '저렴한 구독료 이젠 없다'…유튜브, 프리미엄 라이트 폐지
  • 점점 비서 같아지는 '챗GPT'...보고 듣고 말도 한다고?
  • 퀄컴 '스냅8 3세대', 얼마나 빨라질까
  • 키보드로 사진도 찍고 AI도? MS 스위프트키 업데이트

[Techplus] 공감 뉴스

  • 페이스북 ‘멀티 프로필’ 기능 추가…몇 개까지 가능?
  • 일론 머스크 전기에서 밝혀진 흥미로운 사실 7가지
  • 아이폰 15 프로, 진짜 '콘솔 게임' 구동하네...?
  • 대세는 광고 요금제? 아마존 프라임도 광고 추가한다
  • RTX 4090도 버거워한다는 삼성 '네오 G9' 모니터...이유는?
  • AI 탑재한 소니 풀프레임 카메라 a7C II·a7C R 살펴보니

댓글 많은 뉴스

[Techplus] 인기 뉴스

  • [용어로 읽는 IT] - 어떻게 줄였을까? 1.5mm 베젤 선보인 아이폰 15 프로
  • 소문과 다르네…취약한 아이폰 15 프로 모델 ‘내구성’
  • '저렴한 구독료 이젠 없다'…유튜브, 프리미엄 라이트 폐지
  • 점점 비서 같아지는 '챗GPT'...보고 듣고 말도 한다고?
  • 퀄컴 '스냅8 3세대', 얼마나 빨라질까
  • 키보드로 사진도 찍고 AI도? MS 스위프트키 업데이트

[Techplus] 추천 뉴스

  • 페이스북 ‘멀티 프로필’ 기능 추가…몇 개까지 가능?
  • 일론 머스크 전기에서 밝혀진 흥미로운 사실 7가지
  • 아이폰 15 프로, 진짜 '콘솔 게임' 구동하네...?
  • 대세는 광고 요금제? 아마존 프라임도 광고 추가한다
  • RTX 4090도 버거워한다는 삼성 '네오 G9' 모니터...이유는?
  • AI 탑재한 소니 풀프레임 카메라 a7C II·a7C R 살펴보니

댓글 많은 뉴스

공유하기

https://tech-plus.co.kr/96042/

로고
광고문의 파트너스 입점문의
  • 테크플러스
  • 서울 서초구 양재대로2길 22-16 호반파크 1관 7층
  • 사업자등록번호 : 743-87-00675
  • 대표번호 : 02-2168-9418
  • 청소년보호책임자 : 김태우
  • 발행인 : 김태우
  • 편집인 : 김태우

테크플러스-Techplus의 모든 콘텐츠는 저작권법의 보호를 받은 바, 무단 전재, 복사, 배포 등을 금합니다.
© Copyright by 테크플러스-Techplus. All Rights Reserved.

ad-close