안랩이 25일, 부재중 전화 알림, 팩신 수신 확인 등 업무 관련 내용을 위장한 피싱 메일로 사용자의 마이크로소프트 365 계정을 탈취하는 공격 사례를 발견하고 사용자 주의를 당부했다.
MS 365는 MS 워드, 엑셀, 파워포인트 등 다양한 사무용 소프트웨어를 패키지 형태로 이용할 수 있는 클라우드 기반 구독 서비스다.
안랩에 따르면 공격자는 우선 전화 알림이나 팩스 스신 확인 등으로 위장한 이메일을 발송한다. 전화 알림 위장 사례에서 공격자는 이메일 제목을 수신자(피해자) 이메일 주소로 속여 발송했다. 메일 본문은 부재중 녹음된 음성 메시지를 첨부했다는 내용으로 꾸몄으며, playback(다시 듣기)이라는 이름의 파일을 첨부했다. 수신자가 해당 첨부파일을 열면 MS 로그인 페이지와 유사하게 제작된 피싱 사이트로 연결된다.
팩스 수신 확인으로 위장한 메일의 경우, 공격자는 가짜 문서번호와 'for review(검토해달라)'라는 제목의 메일을 보냈다. 공격자는 '스캐너에서 성공적으로 팩스를 수신했다'는 메시지를 본문에 적고, 피싱 사이트로 연결되는 파일을 첨부했다. 이 역시 MS 365를 사칭한 피싱 사이트로 연결된다.
두 공격에서 사용된 로그인 위장 피싱 사이트에는 이미 사용자의 이메일 주소가 입력된 것처럼 꾸며져 있어 사용자가 의심 없이 비밀번호를 입력할 수 있다. 사용자가 비밀번호를 입력하면 즉시 공격자에게 전송된다. 뿐만 아니라 해당 계정과 연결된 프로그램 내 정보까지 탈취당하는 등 추가 피해로 이어질 수 있어 사용자의 각별한 주의가 필요하다.
피싱으로 인한 피해를 줄이기 위해서는 △이메일 발신자 등 출처 확인 △출처가 의심스러운 메일 내 첨부파일과 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △백신 프로그램 최신버전 유지와 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램 최신 보안 패치 적용 등 기본 보안수칙을 준수해야 한다.
김성경 안랩 분석팀 연구원은 "사용자가 피싱 사이트에 속아 조직에서 사용 중인 계정정보를 입력할 경우 개인정보 뿐 아니라 조직의 정보까지 탈취될 위험이 있어 각별한 주의가 필요하다"며 "피해 예방을 위해 의심스러운 메일 속 첨부파일이나 URL을 실행하지 않아야 한다"고 말했다.
MS 365는 MS 워드, 엑셀, 파워포인트 등 다양한 사무용 소프트웨어를 패키지 형태로 이용할 수 있는 클라우드 기반 구독 서비스다.
안랩에 따르면 공격자는 우선 전화 알림이나 팩스 스신 확인 등으로 위장한 이메일을 발송한다. 전화 알림 위장 사례에서 공격자는 이메일 제목을 수신자(피해자) 이메일 주소로 속여 발송했다. 메일 본문은 부재중 녹음된 음성 메시지를 첨부했다는 내용으로 꾸몄으며, playback(다시 듣기)이라는 이름의 파일을 첨부했다. 수신자가 해당 첨부파일을 열면 MS 로그인 페이지와 유사하게 제작된 피싱 사이트로 연결된다.
팩스 수신 확인으로 위장한 메일의 경우, 공격자는 가짜 문서번호와 'for review(검토해달라)'라는 제목의 메일을 보냈다. 공격자는 '스캐너에서 성공적으로 팩스를 수신했다'는 메시지를 본문에 적고, 피싱 사이트로 연결되는 파일을 첨부했다. 이 역시 MS 365를 사칭한 피싱 사이트로 연결된다.
피싱으로 인한 피해를 줄이기 위해서는 △이메일 발신자 등 출처 확인 △출처가 의심스러운 메일 내 첨부파일과 URL 실행 금지 △사이트 별로 다른 계정 사용 및 비밀번호 주기적 변경 △백신 프로그램 최신버전 유지와 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램 최신 보안 패치 적용 등 기본 보안수칙을 준수해야 한다.
김성경 안랩 분석팀 연구원은 "사용자가 피싱 사이트에 속아 조직에서 사용 중인 계정정보를 입력할 경우 개인정보 뿐 아니라 조직의 정보까지 탈취될 위험이 있어 각별한 주의가 필요하다"며 "피해 예방을 위해 의심스러운 메일 속 첨부파일이나 URL을 실행하지 않아야 한다"고 말했다.