마이크로소프트 QR 코드 사기는 사용자 자격 증명을 대상으로 합니다: 전문가들
사이버 보안 전문가들은 새로운 QR 코드 사기 캠페인, 또는 QR 코드 낚시 공격을 발견했습니다.퀴싱Microsoft Sway를 악용하여 가짜 랜딩 페이지를 호스팅하고 자격 증명, 다단계 인증 (MFA) 코드 및 쿠키를 도용하는 것입니다.
스웨이는 2015년에 마이크로소프트 365 제품군의 일부로 출시된 무료 클라우드 기반 디지털 스토리텔링 앱입니다. 사용자들은 보고서, 개인 이야기, 프레젠테이션, 문서 등을 위한 상호 작용 디자인을 만들고 공유할 수 있습니다.
넷스코프 위협 랩스는 사이버 보안 기업으로, 2024년 7월에 퀴싱 사기를 처음 기록했습니다. 회사는 Microsoft의 사이버 보안 솔루션을 우회하기 위해 다양한 전술을 사용하는 Sway에서의 사이버 공격 캠페인이 2,000배 증가했다는 것을 감지했습니다.
이러한 사이버 공격의 연속은 주로 기술, 제조 및 금융 산업을 겨냥했으며, 특히 아시아와 북미 지역에서 주로 이루어졌습니다.
목차
마이크로소프트 QR 코드 피싱 캠페인은 이메일을 통해 시작되었으며, 네스코프가 확인했습니다.
연구원들은 Sway 사용자들에게 보낸 이메일이 Sway 도메인에서 호스팅된 피싱 랜딩 페이지로 리디렉트되었음을 발견했습니다.sway.cloud.microsoft도메인. 이 사기 페이지들은 은행 계정 로그인 정보를 요청하는 것으로 나타났습니다.QR 코드 사기사용자들이 다른 악성 웹 페이지로 이끌기 위해 스캔하도록 권장된 것이 있었습니다.
이미지 안에 URL이 포함되어 있기 때문에 텍스트 기반 콘텐츠만 스캔할 수 있는 이메일 스캐너는 우회될 수 있습니다. 또한 사용자가 QR 코드를 받으면 다른 장치(예: 휴대전화)를 사용하여 코드를 스캔할 수 있습니다.넷스코프 연구원들은 관찰했습니다.
이러한 QR 코드를 스캔하도록 사용자에게 요청하는 것은 일반적인 사기 전략이며 대부분의 휴대폰은 더 약한 보안 조치를 갖고 있기 때문입니다.
악의적인 행위자들은 스마트폰에서 피싱에 대한 보안 제어를 우회할 가능성이 높습니다. 그들은 보통 안티바이러스 소프트웨어나 엔드포인트 탐지 및 대응 솔루션을 갖추지 않고 있기 때문에, 이러한 솔루션은 일반적으로 PC에만 존재합니다.
모바일 기기, 특히 개인 핸드폰에 시행된 보안 조치는 일반적으로 노트북과 데스크톱보다 엄격하지 않기 때문에 피해자들은 종종 더 취약해집니다.연구자들이 추가했습니다.
QR코드 사기 캠페인은 탐지를 피하기 위해 Cloudflare Turnstile을 이용했습니다.
이러한 퀴싱 캠페인을 훨씬 효과적으로 만드는 것은 신뢰할 수 있는 웹 소프트웨어를 사용하여 믿을 수 있게 보이고 사기 수법을 감지에서 회피하는 것입니다.
연구원들은 이 사기꾼들이 정적 URL 스캐너와 웹 필터링 서비스로부터 랜딩 페이지를 숨기기 위해 Cloudflare Turnstile을 사용했다는 것을 확인했습니다. 이것은 사기꾼들이 좋은 평판을 유지하도록 도와주었으며, 웹사이트를 보호하기 위해 고안된 도구들조차도 감지할 수 없게 만들었습니다.
사이버 공격자들은 적대자 중간 공격을 이용하는 투명한 피싱도 활용했습니다. 이 사기 전술은 개인 정보와 비즈니스 비밀을 탈취했습니다.다중 요인 인증피해자의 정품 Microsoft 계정에 동시에 로그인하면서 유사한 모습의 페이지를 통해 코드를 탈취합니다.
Microsoft 계정에 로그인하여 사용자들이 정품 웹사이트에 액세스하고 있는 것으로 생각하게 하여 그들의 신뢰를 얻고 경계를 낮추는 전술을 사용했습니다.
"합법적인 클라우드 애플리케이션을 사용함으로써 공격자는 피해자에게 신뢰성을 제공하여 서비스하는 콘텐츠를 신뢰하도록 도와줍니다."
게다가 피해자는 이미 로그인한 Microsoft 365 계정을 사용하여 Sway 페이지를 열 때, 이는 해당 페이지의 정품성에 대해 설득할 수 있습니다.Netskope 연구원들이 주목했습니다.
‘이것은 처음이 아닙니다’: 마이크로소프트 Sway는 사기 공격 기록이 있습니다.
2020년 4월, 악의적인 요소들이 PerSwaysion이라는 유사한 피싱 캠페인을 실행했습니다. 이 캠페인은 Office 365 로그인 자격 증명을 노린 것으로, 악성코드 서비스(MaaS) 작업에 포함된 피싱 키트를 사용했습니다.
Group-IB 보안 연구원들은 이 캠페인이 Microsoft Sway를 활용하여 소형 및 중소 규모의 금융 서비스 회사, 법률 사무소 및 부동산 그룹의 고위 임원들을 대상으로 했다고 발견했습니다.
156개 이상의 자격 증명이 기업 이메일을 침해하여 수집되었습니다. 이 중 최소 20개는 미국, 캐나다, 독일, 홍콩, 싱가포르, 네덜란드 및 영국의 다양한 기업의 임원에 속한 피싱된 계정입니다.
증거에 따르면 사기꾼들은 잠재 피해자의 위치를 평가하는 데 LinkedIn 프로필을 사용할 가능성이 높습니다.
"그러한 전술은 현재 피해자의 동료로부터 조기 경고가 줄어들고 새로운 피싱 사이클의 성공률을 높입니다."Group-IB 연구원들이 말했다.
QR 코드의 이미지 기반 특성을 이용하여 피싱 캠페인을 시작합니다.
사이버 보안 조치 및 대책을 개선하는 것은 Microsoft와 소프트웨어 서비스 기업과 같은 기술 회사들의 주요 임무 중 하나입니다.무료 QR 코드 생성기온라인.
보안 조치를 강화하는 가운데, 그러나 악의적인 행위자들은 피싱 캠페인과 대응책을 더욱 강화하고 있습니다. 그들은 합법적인 사이버 보안 앱의 취약점을 활용하여 더 똑똑해지고 있습니다.
Sway에 대한 이 사기 공격을 통해 나타난 바와 같이, 취약점은 QR 코드와 같은 이미지 기반 위협에 있습니다. 대부분의 이메일 스캐너는 텍스트 기반 콘텐츠를 스캔하기 위해서만 보정되어 있었으며 이미지 내의 URL은 스캔하지 않았습니다.
피싱 웹사이트로 피해자들을 유도하기 위해 QR 코드를 사용하는 것은 방어자들에게 몇 가지 도전을 제기합니다.
이미지 내에 URL이 포함되어 있기 때문에 텍스트 기반 콘텐츠만 스캔할 수 있는 이메일 스캐너는 우회될 수 있습니다.넷스코프는 회귀했습니다.
회사들은 보안 정책을 재검토하고 사이버 보안을 강화해야 합니다.
사기 캠페인의 확대는 기업이 웹 및 클라우드 트래픽 스캐닝 및 필터링에 대한 사이버 보안 정책을 검토하도록 신호를 보냅니다. 더 나은 정책은 직원들이 악성 웹 사이트에 접속할 가능성을 줄입니다.
동시에 개별 사용자들은 클릭하기 전에 URL을 확인하는 것이 좋습니다. 더 좋은 방법은 브라우저 주소 표시줄에 웹사이트를 직접 입력하여 QR 코드 사기에 빠지지 않도록 하는 것입니다.
QR 코드 기반의 피싱은 최근 주요 문제가 되어 더 이상 감소하지 않을 것으로 보입니다. 최근 Cofense의 연구 결과에 따르면 이러한 공격은 계속해서 증가하고 있습니다.연구에서 QR 코드 액티브 위협의 331% 증가가 발견되었습니다.보고서,"Max Gannon은 Cofense의 대변자입니다.
이 캠페인에서 Microsoft Sway의 남용은 위협 요소가 자동화된 보안 제어를 우회하는 쉬운 방법을 갖고 있다는 점을 강조합니다. 신뢰할 수 있는 공유 서비스를 남용하기만 하면 됩니다.Gannon이 덧붙였다.
