1부: Cloudflare Workers를 활용한 피싱 캠페인

사이버보안 연구원들은 Cloudflare Workers를 활용해 사용자 자격 증명을 수집하는 피싱 캠페인이 여러 건 있다고 경고했습니다. 이러한 피싱 사이트는 Microsoft, Gmail, Yahoo!, cPanel 웹메일 등의 서비스 사용자를 타겟으로 합니다.

여기에서 공격자는 "중간자 공격(Adversary-in-the-Middle , AitM )"이라는 기술을 사용했습니다. 공격을 실행하기 위해 공격자는 Cloudflare Workers를 가짜 중간 서버로 사용합니다. 사용자가 합법적인 로그인 페이지를 방문하면 Cloudflare Workers가 데이터를 가로채서 사용자와 실제 로그인 페이지 간에 전달합니다.

기본적으로 이 공격은 다음 4단계를 거쳐 진행됩니다.

• 1단계: 해커가 사용자에게 피싱 이메일을 보냅니다.

공격자는 가짜 웹사이트 링크가 포함된 피싱 이메일을 보냅니다. 이 이메일은 신뢰할 수 있는 출처를 사칭하고 있으며, 사용자가 링크를 클릭하도록 유도하는 메시지를 담고 있을 수 있습니다.

• 2단계: 사용자가 이메일을 클릭하면 Cloudflare를 통해 피싱 웹사이트로 리디렉션됩니다.

사용자는 이메일을 받고 이메일의 링크를 클릭하는데, 이를 통해 가짜 웹사이트로 이동하게 됩니다. 이 사이트는 Cloudflare Workers에 호스팅되므로 사용자 요청은 Cloudflare Workers를 통해 전달됩니다.

• 3단계: Cloudflare는 사용자의 요청을 합법적인 웹사이트로 전달합니다.

사용자가 가짜 사이트에 로그인 정보를 입력하면 Cloudflare Workers가 로그인 정보(사용자 이름, 비밀번호, 2단계 인증 코드 등, 해당되는 경우)를 캡처합니다. 그러면 Cloudflare Workers가 이 요청을 합법적인 웹사이트로 전달합니다. 사용자는 차이를 느끼지 않고도 합법적인 웹사이트에 로그인할 수 있습니다.

• 4단계: Cloudflare는 사용자 정보를 기록하여 해커에게 전송합니다.

Cloudflare Workers는 사용자 로그인 정보를 기록하여 공격자에게 전송합니다. 공격자는 이 정보를 사용해 사용자 계정에 접근하여 악의적인 행위를 수행할 수 있습니다.

2부: HTML 스머글링 기법 및 자격 증명 수집 전략

HTML 스머글링은 공격자가 사용자의 브라우저에 사기성 페이지를 은밀하게 만드는 데 사용하는 정교한 공격 방법입니다.

기본적으로 HTML 스머글링 공격은 5가지 주요 단계로 진행됩니다.

• 1단계: 공격자가 피싱 이메일을 보냅니다.

공격자는 피해자가 정기적으로 이용하는 조직이나 서비스 등 신뢰할 수 있는 출처에서 온 것처럼 가장하여 피싱 이메일을 작성합니다. 이 이메일에는 악성 링크 또는 HTML 첨부 파일이 포함되어 있습니다. 이메일 내용에는 피해자가 링크나 첨부 파일을 열도록 유도하기 위한 설득력 있거나 긴급한 메시지가 포함되는 경우가 많습니다. 예를 들어, 잠긴 계정에 대한 알림이나 즉시 확인해야 하는 중요한 문서에 대한 알림 등이 있습니다.

• 2단계: 사용자가 이메일을 받고 링크/첨부 파일을 엽니다.

사용자는 피싱 이메일을 받고, 의심하지 않고 링크를 클릭하거나 HTML 첨부 파일을 엽니다. 이를 통해 사용자의 브라우저는 HTML 파일이나 링크에 포함된 악성 JavaScript 코드를 로드하고 실행합니다. 이 코드는 추가 소프트웨어를 다운로드할 필요 없이 사용자 브라우저에서 바로 작동하도록 설계되었습니다.

• 3단계: JavaScript 코드는 사용자 브라우저에 바로 피싱 페이지를 생성합니다.

악성 JavaScript 코드는 자동으로 피싱 페이지를 생성하여 사용자의 브라우저에 표시합니다. 이러한 피싱 페이지는 Microsoft, Gmail 또는 피해자가 일반적으로 사용하는 다른 서비스와 같은 온라인 서비스의 합법적인 로그인 페이지와 매우 유사해 보입니다. 이로 인해 피해자는 자신이 가짜 사이트에 접속했다는 사실을 깨닫지 못하게 됩니다.

• 4단계: 사용자가 피싱 사이트에 로그인 정보를 입력합니다.

사용자는 아무것도 의심하지 않고 피싱 사이트에 로그인 정보를 입력합니다. 여기에는 사용자 이름, 비밀번호가 포함되며, 필요한 경우 2단계 인증(MFA) 코드도 포함될 수 있습니다. 이 사기 사이트는 이 모든 정보를 비밀리에 기록하도록 설계되었습니다.

• 5단계: 로그인 정보가 해커의 서버로 전송됩니다.

사용자가 피싱 페이지에 로그인 정보를 입력하면 악성 JavaScript 코드가 이 정보를 해커의 서버로 전송합니다. 이를 통해 공격자는 사용자 이름, 비밀번호, 2단계 인증 코드를 포함한 피해자의 로그인 자격 증명을 수집할 수 있습니다. 이 정보를 이용해 공격자는 피해자의 계정에 무단으로 접근할 수 있습니다.

3부: 예방 조치에 대한 사용자 권장 사항

위에서 언급한 것처럼 점점 더 정교해지는 사이버 공격으로부터 자신을 보호하려면 사용자는 위험을 최소화하기 위한 몇 가지 예방 조치를 취해야 합니다. 다음은 몇 가지 중요한 권장 사항입니다.

• 사이버 보안에 대한 인식 제고

오늘날의 디지털 환경에서 사이버 공격 방법은 끊임없이 진화하고 점점 더 정교해지고 있습니다. 그러므로 최신 사이버 보안 위협에 대한 지식을 정기적으로 업데이트하는 것이 매우 중요합니다. 사용자는 위험을 이해하고 이를 방지하는 방법을 알기 위해 평판이 좋고 최신 정보 출처를 적극적으로 모니터링해야 합니다.

• 2단계 인증(2FA)을 사용하세요.

2단계 인증은 보안을 한층 더 강화합니다. 공격자가 사용자의 로그인 정보를 얻었더라도 계정에 액세스하려면 두 번째 인증 코드가 필요합니다.

• 조치를 취하기 전에 항상 확인하고 검증하세요

클릭하기 전에 모든 첨부 파일과 링크를 다시 한번 확인하세요.

클릭하기 전에 신중하게 생각하세요!!!

• 바이러스 백신 소프트웨어를 사용하세요

바이러스 백신 소프트웨어는 바이러스, 트로이 목마, 랜섬웨어, 스파이웨어 등 다양한 유형의 맬웨어를 검사하고 감지할 수 있습니다. 탐지되면 맬웨어를 제거하거나 격리하여 시스템을 보호합니다.

오늘날의 디지털 시대에는 사이버 공격이 점점 더 정교해지고 감지하기 어려워지고 있습니다. Cloudflare Workers와 HTML Smuggling을 사용하는 피싱 캠페인을 이해하고 이를 방지하는 것이 중요합니다. 자신을 보호하기 위해 사용자는 사이버 보안에 대한 지식을 정기적으로 업데이트하고, 비밀번호 관리자를 사용하고, 바이러스 백신 소프트웨어를 설치하고, 2단계 인증을 적용해야 합니다. 이러한 조치는 개인 정보를 보호하는 데 도움이 될 뿐만 아니라, 커뮤니티 전체의 사이버 보안을 강화하는 데에도 기여합니다.

— 일반 보안 부서 —