최신 피싱 공격 전술 해독: Cloudflare Workers부터 HTML 스머글링까지

1부: Cloudflare Workers를 활용한 피싱 캠페인

사이버 보안 연구원들은 Cloudflare Workers를 이용하여 사용자 로그인 정보를 수집하는 여러 피싱 캠페인에 대해 경고했습니다. 이러한 피싱 사이트는 Microsoft, Gmail, Yahoo!, cPanel 웹메일과 같은 서비스 사용자를 표적으로 삼습니다.

여기서 공격자는 "중간자 공격( Adversary-in-the- Middle, AitM)" 이라는 기법을 사용했습니다. 공격자는 Cloudflare Workers를 가짜 중개 서버로 사용하여 공격을 수행했습니다. 사용자가 합법적인 로그인 페이지에 접속하면 Cloudflare Workers는 사용자와 실제 로그인 페이지 간의 데이터를 가로채서 전달합니다.

기본적으로 이 공격은 다음 4단계를 거쳐 진행됩니다.

• 1단계: 해커가 사용자에게 피싱 이메일을 보냅니다.

공격자가 가짜 웹사이트 링크가 포함된 피싱 이메일을 발송합니다. 해당 이메일은 신뢰할 수 있는 출처에서 발송된 것처럼 보일 수 있으며, 사용자가 링크를 클릭하도록 유도하는 메시지를 포함하고 있습니다.

• 2단계: 사용자가 이메일을 클릭하면 Cloudflare를 통해 피싱 웹사이트로 리디렉션됩니다.

사용자가 이메일을 받고 이메일의 링크를 클릭하면 가짜 웹사이트로 이동합니다. 해당 웹사이트는 Cloudflare Workers에 호스팅되어 있으므로 사용자의 요청은 Cloudflare Workers를 통해 처리됩니다.

• 3단계: Cloudflare는 사용자의 요청을 합법적인 웹사이트로 전달합니다.

사용자가 가짜 사이트에 로그인 정보를 입력하면 Cloudflare Workers가 로그인 정보(사용자 이름, 비밀번호, 2단계 인증 코드(있는 경우) 포함)를 캡처합니다. 그런 다음 Cloudflare Workers는 해당 요청을 합법적인 사이트로 전달합니다. 사용자는 아무런 변화 없이 합법적인 사이트에 로그인 상태를 유지합니다.

• 4단계: Cloudflare는 사용자 정보를 기록하여 해커에게 전송합니다.

Cloudflare Workers는 사용자의 로그인 정보를 캡처하여 공격자에게 전송합니다. 공격자는 이 정보를 사용하여 사용자 계정에 접근하고 악의적인 행위를 수행할 수 있습니다.

2부: HTML 스머글링 기법 및 자격 증명 수집 전략

HTML 스머글링은 공격자가 사용자의 브라우저에 사기성 페이지를 은밀하게 만드는 데 사용하는 정교한 공격 방법입니다.

기본적으로 HTML 스머글링 공격은 5가지 주요 단계로 진행됩니다.

• 1단계: 공격자가 피싱 이메일을 보냅니다.

공격자는 피해자가 자주 이용하는 조직이나 서비스 등 신뢰할 수 있는 출처에서 보낸 것처럼 위장하여 피싱 이메일을 생성합니다. 이메일에는 링크나 악성 HTML 첨부 파일이 포함되어 있습니다. 이메일 본문에는 일반적으로 피해자가 링크나 첨부 파일을 열도록 유도하는 설득력 있거나 긴급한 메시지가 포함되어 있는데, 예를 들어 잠긴 계정이나 즉시 확인해야 하는 중요한 문서에 대한 알림 등이 있습니다.

• 2단계: 사용자가 이메일을 받고 링크/첨부 파일을 엽니다.

사용자가 피싱 이메일을 수신하고, 의심하지 않고 링크를 클릭하거나 HTML 첨부 파일을 엽니다. 그러면 사용자의 브라우저는 HTML 파일이나 링크에 포함된 악성 JavaScript 코드를 로드하고 실행합니다. 이 코드는 추가 소프트웨어를 다운로드하지 않고도 사용자 브라우저에서 직접 실행되도록 설계되었습니다.

• 3단계: JavaScript 코드는 사용자 브라우저에 바로 피싱 페이지를 생성합니다.

악성 JavaScript 코드는 자동으로 피싱 페이지를 생성하여 사용자 브라우저에 표시합니다. 이 피싱 페이지는 Microsoft, Gmail 또는 피해자가 일반적으로 사용하는 다른 온라인 서비스의 정상적인 로그인 페이지와 매우 유사해 보입니다. 이로 인해 피해자는 자신이 가짜 페이지에 접속했다는 사실을 인지하지 못합니다.

• 4단계: 사용자가 피싱 사이트에 로그인 정보를 입력합니다.

사용자는 아무런 경고 없이 피싱 사이트에 로그인 정보를 입력합니다. 여기에는 사용자 이름, 비밀번호, 그리고 요청 시 2단계 인증(MFA) 코드가 포함됩니다. 피싱 사이트는 이 모든 정보를 비밀리에 기록하도록 설계되었습니다.

• 5단계: 로그인 정보가 해커의 서버로 전송됩니다.

사용자가 피싱 페이지에 로그인 정보를 입력하면 악성 자바스크립트 코드가 해당 정보를 해커의 서버로 다시 전송합니다. 이를 통해 공격자는 사용자 이름, 비밀번호, 2단계 인증 코드를 포함한 피해자의 로그인 정보를 수집할 수 있습니다. 이 정보를 통해 공격자는 피해자의 계정에 무단으로 접근할 수 있습니다.

3부: 예방 조치에 대한 사용자 권장 사항

위에서 언급한 점점 더 정교해지는 사이버 공격으로부터 자신을 보호하려면 사용자는 위험을 최소화하기 위한 몇 가지 예방 조치를 취해야 합니다. 다음은 몇 가지 중요한 권장 사항입니다.

• 사이버 보안에 대한 인식 제고

오늘날의 디지털 환경에서 사이버 공격은 끊임없이 진화하고 점점 더 정교해지고 있습니다. 따라서 최신 사이버 보안 위협에 대한 최신 정보를 파악하는 것이 매우 중요합니다. 사용자는 신뢰할 수 있고 최신 정보 출처를 적극적으로 모니터링하여 위험을 파악하고 예방 방법을 파악해야 합니다.

• 2단계 인증(2FA)을 사용하세요.

2단계 인증은 보안을 한층 더 강화합니다. 공격자가 로그인 정보를 훔치더라도 계정에 접근하려면 두 번째 인증 코드가 필요합니다.

• 조치를 취하기 전에 항상 확인하고 검증하세요

클릭하기 전에 모든 첨부 파일과 링크를 다시 한번 확인하세요.

클릭하기 전에 신중하게 생각하세요!!!

• 바이러스 백신 소프트웨어를 사용하세요

바이러스 백신 소프트웨어는 바이러스, 트로이 목마, 랜섬웨어, 스파이웨어 등 다양한 유형의 맬웨어를 검사하고 탐지할 수 있습니다. 맬웨어가 탐지되면 제거하거나 격리하여 시스템을 보호합니다.

오늘날 디지털 시대에 사이버 공격은 더욱 정교해지고 탐지가 어려워지고 있습니다. Cloudflare Workers와 HTML 스머글링(HTML Smuggling)을 이용한 피싱 캠페인을 파악하고 이를 예방하는 것이 중요합니다. 사용자는 사이버 보안 지식을 정기적으로 업데이트하고, 비밀번호 관리자를 사용하고, 바이러스 백신 소프트웨어를 설치하고, 2단계 인증을 구현해야 합니다. 이러한 조치는 개인 정보를 보호하는 데 도움이 될 뿐만 아니라 전체 커뮤니티의 사이버 보안을 강화하는 데에도 기여합니다.

— 일반 보안 부서 —