지난 15일(현지 시간) 미국 사이버 보안 업체 트러스트웨이브(Trustwave)는 자사 블로그 게시물을 통해 현재 페이스북(Facebook) 게시물을 이용한 피싱(Phishing) 공격이 기승을 부리는 중이라고 발표했다.
현재 개인과 각종 기업들은 스팸을 포함해 이메일로 벌어지는 보안 사고를 방지하기 위해 별도 이메일 보안 솔루션을 많이 사용한다. 보안 솔루션 회사는 스팸이나 피싱, 악성코드, 제로 데이(zero-day) 공격 등 수많은 메일 데이터를 바탕으로 공격 패턴을 확보한다. 이메일 보안 솔루션은 사용자가 수신하기 전 공격 패턴에 부합하는 이메일을 먼저 제거해 사용자에게 메일이 수신되지 않도록 한다. 이메일 보안 솔루션을 사용하면 스팸, 피싱, 개인이나 기업의 중요 데이터 유출, 사칭 등 이메일 기반 보안 위협을 예방하고 탐지해서 추가적인 대응이 가능해진다.
피싱 공격을 가하는 입장에서 이메일 보안 솔루션은 걸림돌이다. 이미 알려진 패턴으로 보내면 솔루션이 메일을 먼저 확인한 후 수신자에게 전송되기 전 모두 폐기 처리하기 때문이다. 공격자가 원하는 바를 일반 사용자로부터 얻어내기 힘들어진다.
트러스트웨이브가 보고한 이번 피싱 공격은 이메일 보안 솔루션을 회피하고자 일반적인 피싱 공격과 다른 방식을 취했다. 페이스북 게시물을 공격 수단의 일부로 사용해 사용자가 페이스북 계정의 자격 증명 정보와 개인 식별 정보(Personally Identifiable Information)를 제공하도록 속인다. 공격 대상에게 발송된 이메일은 수신자의 페이스북 게시물 중 하나가 저작권 침해 문제로 인해 48시간 내로 계정이 삭제될 것이라는 문구가 담겨 있다. 사용자는 주로 사용자에게 수신된 피싱 이메일이나 페이스북 메시지를 통해 페이스북 게시물에 접속하게 된다.
메일 내에는 계정 삭제와 관련해 페이스북 지원 센터에 문의 요청을 남기고 싶다면 페이스북 게시물 링크에 접속하라고 나와 있다. 해당 링크는 실제 페이스북 게시물 링크다. 일반 피싱 메일과 다른 점이 바로 이 부분이다. 따라서 이메일 보안 솔루션의 탐지와 메일 삭제를 우회할 수 있고, 무사히 해당 메일이 수신자에게 발송되는 것이다.
페이스북 게시물은 공식 페이스북에서 관리하는 것처럼 보이기 위해 페이스북 로고를 사용했다. 또한 페이스북 이름은 ‘페이지 지원’으로 설정했다. 일반 사용자가 봤을 때는 페이스북 공식 지원 센터로 속기 쉬운 형태다.
또한 해당 게시물에는 사용자들이 피싱 공격인 것을 깨달을 가능성을 감소시키기 위해 페이스북의 모회사인 메타(Meta)의 이름을 딴 다른 외부 피싱 사이트 링크도 함께 첨부돼 있다.
트러스트웨이브의 분석가들은 자사 블로그 게시물을 작성할 시점에 ‘meta[.]forbusinessuser[.]xyz/?fbclid=123’, ‘meta[.]forbusinessuser[.]xyz/main[.]php’, ‘meta[.]forbusinessuser[.]xyz/checkpoint[.]php’ 피싱 공격의 총 세 가지 URL를 발견했다.
페이스북 게시물에는 사용자가 저작권 침해 문제를 해결하는 사이트로 보이기 위한 피싱 사이트가 적혀 있다. 그리고 해당 사이트는 사용자에게 이름, 이메일 주소, 페이스북 계정 사용자 이름을 입력하도록 요청한다. 실제 페이스북의 저작권 문제를 항소하는 페이지처럼 보이도록 페이스북 UI(user interface) 구성으로 세심하게 만들어졌다. 자칫하면 사용자가 속기 쉬운 형태다.
만약 사용자가 피싱 사이트에서 요구하는 정보를 모두 제출하면 공격자는 피해자의 IP 주소와 지리적 위치 정보를 수집해 공격자의 텔레그램(telegram) 계정으로 사용자의 모든 페이스북 정보를 빼낸다. 공격자가 사용자의 페이스북 계정을 탈취하는 동안 보안 질문을 우회하기 위해 추가 정보를 수집하기도 한다.
한편 피싱 사이트는 사용자가 정보를 제출하면 또 다른 피싱 페이지로 리다이렉션(redirection)한다. 시간과 함께 가짜 6자리 일회용 비밀번호(OTP) 요청을 표시하는 페이지다. 가짜인 만큼 당연히 사용자가 어떤 코드를 입력하든 오류가 발생한다. 이후 사이트에서는 ‘인증할 다른 방법이 필요한가요?’를 표시한다. 만약 사용자가 클릭한다면 사이트는 실제 페이스북 홈페이지로 리다이렉션한다.
또한 트러스트웨이브의 분석가들은 공격자가 피싱 사이트에서 효율적으로 사용자를 추적하기 위해 구글 애널리틱스(Google Analytics)를 사용한다고 말했다. 구글 애널리틱스는 구글 자체 마케팅 플랫폼이다. 또한 공격자는 사용자가 본인의 페이스북 계정이 실제로 저작권 침해가 발생했다고 여기기 위해 수많은 가짜 페이스북 게시물을 생성하는 것으로 알려졌다.
사용자는 위와 같은 피싱 공격을 방지하기 위해 언제나 무엇이든 경계하는 태도를 취해야 한다. 보통 피싱 사이트의 경우에는 작은 실수를 남기는 법이다. 사용자는 위장한 사이트에 담긴 로고의 해상도, 오탈자, UI/UX(user experience) 등 꼼꼼하게 확인해야 한다. 또한 2요소 인증(2FA)을 활성화시켜 사용자 이외 다른 사람이 사용자의 자격을 증명할 수 없도록 해야 한다.
테크플러스 에디터 박효정
tech-plus@naver.com
