Ars테크니카, 블리핑컴퓨터 등 복수 외신이 마이크로소프트의 신규 피싱 공격 경고 소식을 보도했다.
마이크로소프트는 최근, 계정 보안을 위해 2가지 이상의 인증 수단을 실행하는 다중 인증 기능을 우회한 계정 탈취 및 해킹 공격 피해가 속출했다고 경고했다.
피싱 공격은 지난해 9월부터 시작돼 지금까지 총 1만 곳에 이르는 기관이 다중 인증 기능 우회 피싱 공격 대상이 된 것으로 드러났다.
피싱 세력은 피해자의 마이크로소프트 오피스 온라인 인증 페이지를 감시해, 오피스365 인증 과정을 가로채려 가짜 웹 페이지를 이용했다. 간혹 HTML 첨부 파일을 동원해 피싱 이메일에서 계정 정보 탈취 웹페이지로 연결한 사례도 관측됐다.
피싱 세력은 피해자의 신원 인증 정보와 세션 쿠키 탈취 후에는 피해자 이메일 계정에 접속해, 비즈니스 이메일 사기 공격(BEC) 수법으로 다른 기관에도 피싱 공격을 시도했다.
피싱 공격은 주로 Evilginx2, Modlishka, Muraena를 포함한 여러 가지 오픈소스 피싱 툴킷을 이용해 자동화되었다. 피싱 공격에 동원된 사이트는 역방향 프록시로 작동했으며, 두 개의 별도의 전송 계층 보안(TLS) 세션을 통해 대상의 인증 요청을 합법적인 웹 사이트로 프록시하도록 설계된 웹 서버에서 호스팅되었다.
이후 피싱 페이지는 계정 패스워드와 세션 쿠키 등 탈취된 HTTP 요청으로 인증 과정에 필요한 민감 정보를 가로챘다.
세션 쿠키를 손에 넣은 뒤에는 웹 브라우저에 주입하여 피해자가 다중 인증 기능을 활성화해도 계정 인증 과정을 건너뛸 수 있었다.
마이크로소프트는 피싱 공격 피해를 예방하기 위해 인증 기반 피싱 저항 다중 인증 기능과 Fast ID Online (FIDO) v2.0 지원 버전을 적용할 것을 권고했다. 이 외에도 의심스러운 메일박스 활동과 로그인 시도 감시 강화 툴과 의심스러운 기기 혹은 신뢰할 수 없는 IP 주소에서의 탈취된 세션 쿠키 사용 시도 방지를 활용하는 방법도 추가로 안내했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
