파트 1: 클라우드플레어 직원 사기 캠페인
사이버 보안 연구원들은 클라우드플레어 워커를 악용하여 사용자 로그인 자격 증명을 수집하는 여러 피싱 공격에 대해 경고했습니다. 이러한 피싱 웹사이트는 마이크로소프트, 지메일, 야후!, cPanel 웹메일과 같은 서비스 사용자를 대상으로 합니다.
여기서 공격자는 "중간자 공격( Adversary-in-the- Middle, AITM)" 이라는 기법을 사용했습니다. 공격을 실행하기 위해 공격자는 Cloudflare Workers를 가짜 중간 서버로 활용했습니다. 사용자가 실제 로그인 페이지에 접속하면 Cloudflare Workers가 데이터를 가로채서 사용자와 실제 로그인 페이지 사이의 연결을 끊었습니다.
기본적으로 이러한 유형의 공격은 다음 네 단계를 통해 발생합니다.
- 1단계: 해커는 사용자에게 피싱 이메일을 보냅니다.
공격자들은 가짜 웹사이트 링크가 포함된 피싱 이메일을 보냅니다. 이러한 이메일은 신뢰할 수 있는 출처를 사칭하여 발송될 수 있으며, 사용자가 링크를 클릭하도록 유도하는 내용을 담고 있습니다.
- 2단계: 사용자가 이메일을 클릭하면 클라우드플레어를 통해 피싱 웹사이트로 리디렉션됩니다.
사용자들이 이메일을 수신하고 그 안에 있는 링크를 클릭하면 가짜 웹사이트로 연결됩니다. 이 가짜 웹사이트는 Cloudflare Workers에 호스팅되어 있으므로 사용자 요청은 Cloudflare Workers를 통해 처리됩니다.
- 3단계: Cloudflare는 사용자의 요청을 해당 웹사이트로 전달합니다.
사용자가 가짜 웹사이트에 로그인 정보를 입력하면 Cloudflare Workers는 해당 정보(사용자 이름, 비밀번호, 그리고 필요한 경우 2단계 인증 코드 포함)를 기록합니다. 그런 다음 Cloudflare Workers는 이 요청을 실제 웹사이트로 전달합니다. 사용자는 아무런 차이도 느끼지 못한 채 실제 웹사이트에 로그인할 수 있습니다.
- 4단계: 클라우드플레어는 사용자 정보를 기록하고 해커에게 전송합니다.
Cloudflare Workers는 사용자 로그인 정보를 기록하고 공격자에게 전송합니다. 공격자는 이 정보를 이용하여 사용자의 계정에 접근하고 악의적인 행위를 수행할 수 있습니다.
파트 2: HTML 스머글링 기법 및 로그인 정보 수집 전략
HTML 스머글링은 공격자가 사용자의 브라우저에 직접 피싱 페이지를 은밀하게 생성하는 데 사용하는 정교한 공격 방법입니다.
기본적으로 HTML 스머글링 공격은 다음과 같은 다섯 가지 주요 단계로 진행됩니다.
- 1단계: 공격자가 피싱 이메일을 보냅니다.
공격자는 피해자가 자주 이용하는 기관이나 서비스와 같은 신뢰할 수 있는 출처를 사칭하여 피싱 이메일을 생성합니다. 이 이메일에는 악성 링크 또는 HTML 첨부 파일이 포함되어 있습니다. 이메일 내용은 계정 잠금 알림이나 즉시 확인해야 할 중요한 문서와 같이 피해자가 링크나 첨부 파일을 열도록 유도하는 설득력 있거나 긴급한 메시지를 담고 있는 경우가 많습니다.
- 2단계: 사용자가 이메일을 받고 링크/첨부 파일을 엽니다.
사용자들은 피싱 이메일을 수신하고, 의심하지 않고 링크를 클릭하거나 HTML 첨부 파일을 엽니다. 이렇게 하면 사용자의 브라우저는 HTML 파일이나 링크에 포함된 악성 자바스크립트 코드를 로드하고 실행합니다. 이 코드는 추가 소프트웨어 다운로드 없이 사용자의 브라우저에서 직접 실행되도록 설계되었습니다.
- 3단계: 자바스크립트 코드가 사용자의 브라우저에 피싱 페이지를 직접 생성합니다.
악성 자바스크립트 코드는 자동으로 피싱 페이지를 생성하여 사용자의 브라우저에 표시합니다. 이 피싱 페이지는 마이크로소프트, 지메일 또는 피해자가 평소에 사용하는 다른 온라인 서비스의 정식 로그인 페이지와 매우 유사하게 보입니다. 이 때문에 피해자는 자신이 가짜 페이지에 있다는 사실을 알아차리지 못합니다.
- 4단계: 사용자가 피싱 페이지에 로그인 정보를 입력합니다.
의심할 여지 없이, 사용자들은 피싱 사이트에 로그인 정보를 입력합니다. 여기에는 사용자 이름, 비밀번호, 그리고 요청 시 2단계 인증(MFA) 코드가 포함됩니다. 피싱 사이트는 이러한 모든 정보를 은밀하게 기록하도록 설계되어 있습니다.
- 5단계: 로그인 정보가 해커의 서버로 전송됩니다.
피싱 사이트에 사용자가 로그인 정보를 입력하면 악성 자바스크립트 코드가 해당 정보를 해커의 서버로 전송합니다. 이를 통해 공격자는 피해자의 로그인 자격 증명(사용자 이름, 비밀번호, 2단계 인증 코드 등)을 수집할 수 있습니다. 이렇게 얻은 정보를 이용해 공격자는 피해자의 계정에 무단으로 접근할 수 있습니다.
제3부: 사용자를 위한 예방 조치 권장 사항
위에서 언급한 것처럼 점점 더 정교해지는 사이버 공격 수법으로부터 자신을 보호하기 위해 사용자는 위험을 최소화하기 위한 몇 가지 예방 조치를 취해야 합니다. 다음은 몇 가지 중요한 권장 사항입니다.
- 사이버 보안에 대한 인식 제고
오늘날의 디지털 환경에서 사이버 공격 방식은 끊임없이 진화하고 더욱 정교해지고 있습니다. 따라서 최신 사이버 보안 위협에 대한 지식을 정기적으로 업데이트하는 것이 매우 중요합니다. 사용자들은 신뢰할 수 있고 최신 정보를 제공하는 자료를 적극적으로 활용하여 위험을 파악하고 예방 방법을 알아야 합니다.
- 2단계 인증(2FA) 사용:
2단계 인증은 보안을 한층 강화합니다. 공격자가 로그인 정보를 획득하더라도 계정에 접근하려면 두 번째 인증 코드가 필요합니다.
- 조치를 취하기 전에 항상 확인하고 검증하십시오.
클릭하기 전에 모든 첨부 파일과 링크를 꼼꼼히 확인하세요.
마우스를 클릭하기 전에 신중하게 생각하세요!!!
- 바이러스 백신 소프트웨어를 사용하세요.
안티바이러스 소프트웨어는 바이러스, 트로이 목마, 랜섬웨어, 스파이웨어 및 기타 위협 요소와 같은 다양한 유형의 악성 프로그램을 검사하고 탐지할 수 있습니다. 악성 프로그램이 탐지되면 시스템을 보호하기 위해 해당 프로그램을 제거하거나 격리합니다.
오늘날 디지털 시대에 사이버 공격 수법은 점점 더 정교해지고 탐지하기 어려워지고 있습니다. 클라우드플레어 워커와 HTML 스머글링을 이용한 피싱 공격을 이해하고 예방하는 것은 매우 중요합니다. 사용자는 스스로를 보호하기 위해 사이버 보안 지식을 정기적으로 업데이트하고, 비밀번호 관리자를 사용하고, 바이러스 백신 소프트웨어를 설치하고, 2단계 인증을 구현해야 합니다. 이러한 조치는 개인 정보를 보호할 뿐만 아니라 전체 커뮤니티의 사이버 보안을 강화하는 데에도 기여합니다.
— 안보질서위원회 편찬 —
[광고_2]
출처: https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
![[사진] 람 두알 사무총장 부부의 필리핀 국빈 방문 환영 리셉션](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
댓글 (0)