사이버 보안 전문가들이 새로운 QR 코드 피싱 캠페인을 발견했습니다. 이 캠페인은 "퀴싱"으로도 알려져 있으며 Microsoft Sway를 악용하여 가짜 랜딩 페이지를 호스팅하고 자격 증명, 다중 요소 인증 (MFA) 코드, 그리고 쿠키를 탈취합니다.
스웨이는 2015년에 마이크로소프트 365 제품군의 일환으로 출시된 무료 클라우드 기반 디지털 스토리텔링 앱입니다. 사용자들은 보고서, 개인 이야기, 프레젠테이션, 문서 등을 위한 인터랙티브 디자인을 만들고 공유할 수 있습니다.
Netskope Threat Labs, 사이버 보안 기업,은 2024년 7월에 퀴싱 사기를 처음으로 기록했습니다. 회사는 Sway에서 사이버 공격 캠페인이 2,000배 증가했음을 감지했는데, 이는 다양한 전술을 사용하여 Microsoft의 사이버 보안 솔루션을 우회하는 것이었습니다.
이러한 사이버 공격이 대부분 아시아와 북미 지역을 중심으로 기술, 제조 및 금융 산업을 겨냥했습니다.
넷스코프가 확인한 바에 따르면, 마이크로소프트 QR 코드 사기 캠페인은 이메일을 통해 시작되었습니다.
연구자들은 Sway 사용자에게 보내는 이메일이 sway.cloud.microsoft 도메인에 호스팅된 피싱 랜딩 페이지로 리디렉트된 것을 발견했습니다. 이 피싱 페이지들은 가짜 QR 코드 , 다른 악의적인 웹 페이지로 이어지도록 스캔하도록 권장된 사용자들입니다.
URL이 이미지 안에 포함되어 있기 때문에 텍스트 기반 콘텐츠만 스캔할 수 있는 이메일 스캐너를 우회할 수 있습니다. 게다가 사용자가 QR 코드를 받으면, 모바일 폰과 같은 다른 기기를 사용하여 코드를 스캔할 수 있습니다. 넷스코프 연구원들이 관찰했습니다.
모바일 전화를 사용하여 이러한 QR 코드를 스캔하도록 사용자에게 유도하는 것은 일반적인 사기 전략이며 대부분의 전화기는 보안 조치가 덜 강력하기 때문입니다.
악의적인 행위자들은 스마트폰에서의 피싱에 대한 보안 제어를 우회하기 쉬울 것으로 보이는데, 그들은 종종 안티바이러스 소프트웨어나 엔드포인트 탐지 및 대응 솔루션이 장착되어 있지 않기 때문입니다. 이는 일반적으로 PC에만 존재하는 것입니다.
휴대전화와 같은 개인 기기에 구현된 보안 조치가 일반적으로 랩탑이나 데스크탑보다 엄격하지 않기 때문에 희생자들은 종종 더 쉽게 학대를 당하게 됩니다. 연구자들이 추가했습니다.
큐알 코드 사기 캠페인은 클라우드플레어 턴스타일을 활용하여 감지를 피했습니다.
이번 퀴싱 캠페인을 훨씬 효과적으로 만드는 것은 신뢰할 수 있는 웹 소프트웨어를 사용하여 믿을 만하게 나타내고 사기 수법을 감지를 회피하는 데 있습니다.
연구자들은 이 사기꾼들이 정적 URL 스캐너 및 웹 필터링 서비스로부터 그들의 랜딩 페이지를 숨기기 위해 Cloudflare Turnstile을 사용했음을 확인했습니다. 이는 사기꾼들이 좋은 평판을 유지하도록 도와주었으며, 웹사이트를 봇으로부터 보호하려는 도구조차도 탐지하지 못하게 만들었습니다.
사이버 공격자들은 중개자 공격을 사용하는 투명한 피싱도 활용했습니다. 이 사기 전술은 도둑질을 했습니다. 다중 인증 코드 희생자의 정품 마이크로소프트 계정에 동시에 로그인하는 과정을 하면서 비슷한 모습의 페이지를 통해.
마이크로소프트 계정으로 로그인하는 전략을 사용하여 사용자들이 정품 웹사이트에 접속하는 것으로 오해하게 하여 신뢰를 얻고 경계를 낮췄다.
"합법적인 클라우드 애플리케이션을 사용함으로써, 공격자는 피해자들이 신뢰를 가질 수 있도록 콘텐츠를 제공합니다."
또한, 희생자가 스웨이 페이지를 열 때 이미 로그인한 Microsoft 365 계정을 사용하는 것은 그것의 정당성에 대해 설득하는 데 도움이 될 수 있습니다. 넷스코프 연구원들이 주목하였습니다.
‘이번이 첫 번째가 아닙니다’: Microsoft Sway는 피싱 공격의 기록이 있습니다.
2020년 4월에 악의적 요소들이 PerSwaysion이라고 불리는 유사한 피싱 캠페인을 수행했는데, 해당 캠페인은 악성코드 서비스(MaaS) 작업에 포함된 피싱 킷을 사용하여 Office 365 로그인 자격 증명을 대상으로 했습니다.
그룹-IB 보안 연구원들은 이 캠페인이 Microsoft Sway를 활용하여 중·소형 금융 서비스 기업, 로펌, 부동산 그룹의 고위 임원과 이사들을 대상으로 했다는 것을 발견했습니다.
156개가 넘는 자격증명이 기업 이메일을 빼앗기는 과정에서 획득되었습니다. 이 사고로 최소 20개의 피싱 계정이 미국, 캐나다, 독일, 홍콩, 싱가포르, 네덜란드, 영국의 다양한 기업의 임원들에게 속했다고 알려졌습니다.
증거에 따르면 사기꾼들은 가능한 피해자의 위치를 평가하기 위해 LinkedIn 프로필을 사용할 가능성이 높습니다.
그러한 전술은 현재 피해자의 동료로부터 조기 경고의 가능성을 줄이고 새로운 피싱 사이클의 성공률을 높입니다. 그룹-IB 연구원들이 말했습니다.
QR 코드의 이미지 기반 성질은 피싱 캠페인을 시작하는 데 악용됩니다.
사이버 보안 조치와 대책을 개선하는 것은 Microsoft와 소프트웨어 서비스 기업과 같은 기술 기업들의 주요 임무 중 하나로 남아 있습니다. 무료 QR 코드 생성기 온라인으로 번역해주십시오.
더 엄격한 사이버 보안 조치를 개발하고 있지만, 악의적인 주체들은 또한 피싱 캠페인과 대책을 강화하고 있습니다. 그들은 합법적인 사이버 보안 앱의 취약점을 이용하여 똑똑해지고 있습니다.
스웨이를 통해 시연된 것처럼, 피싱 공격의 취약점은 QR 코드와 같은 이미지 기반 위협에 있습니다. 대부분의 이메일 스캐너는 텍스트 기반 콘텐츠만 스캔하도록 캘리브레이션되어 있었고, 이미지 내의 URL을 스캔할 수 없었습니다.
QR 코드를 사용하여 피해자를 사기 사이트로 유도하는 것은 방어자들에게 일부 도전을 제공합니다.
URL이 이미지 안에 포함되어 있기 때문에, 텍스트 기반 콘텐츠만 스캔할 수 있는 이메일 스캐너는 우회될 수 있습니다. 넷스콥이 응수했다.
기업들은 보안 정책을 재검토하고 사이버 보안을 강화해야 합니다.
사전에 작동하는 사기 메일 캠페인은 조직에게 웹 및 클라우드 트래픽 스캔 및 필터링에 대한 사이버 보안 정책을 검토할 것을 시사합니다. 더 나은 정책은 직원들이 악성 웹 사이트에 접근할 가능성을 줄입니다.
동시에, 개별 사용자들에게는 클릭하기 전에 URL을 확인할 것을 권장합니다. 더 좋은 방법으로는 QR 코드 피싱 사기에 빠지지 않으려면 웹사이트 이름을 직접 브라우저 주소 표시줄에 입력하십시오.
QR 코드 기반의 피싱은 최근에 주요한 문제가 되었으며 감소될 가능성이 적어보입니다. 최근, Cofense의 연구 결과 331% 증가한 QR 코드 위협 리포트가 발견되었습니다. 코피시스의 맥스 갠런이 말했다.
이 캠페인에서 Microsoft Sway의 남용은 위협 요소가 자동 보안 제어를 우회하는 쉬운 방법을 갖고 있다는 점을 더욱 강조합니다. 가넌이 덧붙였다.
