이메일은 악용하기 쉽기 때문에 사이버 범죄자들이 공격을 시작할 때 가장 먼저 선택하는 경우가 많습니다. 처리 능력이 많이 필요한 무차별 암호 대입 공격이나 고도의 기술이 필요한 정교한 방법과 달리 도메인 스푸핑은 다른 사람인 것처럼 이메일을 작성하는 것만큼이나 간단할 수 있습니다. 대부분의 경우, 그 '다른 사람'은 사람들이 업무를 수행하기 위해 의존하는 주요 소프트웨어 서비스 플랫폼입니다.

2020년 4월 15일에서 30일 사이에 PowerDMARC의 보안 분석가들이 중동의 주요 보험회사를 노리는 새로운 피싱 이메일을 발견했습니다. 이 공격은 최근 코로나19 사태로 인해 피싱 및 스푸핑 사례가 증가하고 있는 가운데 발생한 여러 공격 중 하나에 불과합니다. 2020년 2월 초에는 세계보건기구를 사칭하여 수천 명의 사람들에게 코로나 바이러스 구호를 위한 기부를 요청하는 이메일을 보내는 또 다른 주요 피싱 사기가 발생하기도 했습니다.

보험 회사

최근 발생한 일련의 사건에서 Microsoft의 Office 365 서비스 사용자는 사용자 계정 상태에 관한 정기 업데이트 이메일로 보이는 이메일을 받았습니다. 이러한 이메일은 조직의 자체 도메인에서 발송되었으며, 사용자에게 비밀번호를 재설정하거나 보류 중인 알림을 보기 위해 링크를 클릭하도록 요청했습니다.

트위터에서 관찰한 이메일 제목 중 일부가 사용되고 있는 목록을 정리했습니다:

Microsoft 계정의 비정상적인 로그인 활동
이메일에 배달 대기 중인 메시지가 (3)개 있습니다 [email protected]* 포털!
사용자@도메인 보류 중인 Microsoft Office 동기화되지 않은 메시지가 있습니다.
[email protected] 에 대한 재활성화 요약 알림

*사용자의 개인정보 보호를 위해 계정 세부 정보가 변경되었습니다.

또한 보험회사에 발송된 스푸핑 이메일에 사용된 메일 헤더 샘플을 볼 수도 있습니다:

수신: [malicious_ip] (헬로= malicious_domain)

ID 1jK7RC-000uju-6x

에 대한 [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-서명: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

수신: [xxxx]로부터(포트=58502 헬기=xxxxx)

by malicious_domain (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

보낸 사람 "Microsoft 계정 팀"

To: [email protected]

제목: [email protected] 4/1/2020 23:46에 대한 Microsoft Office 알림

날짜: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME 버전: 1.0

콘텐츠 유형: 텍스트/html;

문자셋="utf-8

콘텐츠 전송 인코딩: 따옴표로 묶어 인쇄 가능

X-안티어뷰즈: 이 헤더는 악용을 추적하기 위해 추가되었으며, 모든 악용 신고에 포함하세요.

X-안티어뷰즈: 기본 호스트 이름 - malicious_domain

X-안티어뷰즈: 원본 도메인 - 도메인 domain.com

X-안티어뷰즈: 발신자/발신자 UID/GID - [47 12] / [47 12]

X-안티어뷰즈: 발신자 주소 도메인 - domain.com

X-Get-Message-Sender-Via: malicious_domain: 인증된_ID: admin@malicious_domain

X-인증 발신자: 악성_도메인: admin@malicious_domain

X-소스:

X-Source-Args:

X-Source-Dir:

수신-SPF: 실패(domain.com의 도메인이 지정하지 않은 malicious_ip_address 를 허용된 발신자로 지정하지 않음) client-ip= malicious_ip_address 보낸 사람[email protected]헬로=malicious_domain;

X-SPF-결과: domain.com의 도메인이 지정되지 않음 malicious_ip_address 를 허용된 발신자로 지정하지 않았습니다.

X-발신자 경고: 역방향 DNS 조회에 실패했습니다. malicious_ip_address (실패)

X-DKIM 상태: 없음 / / domain.com / / /

X-DKIM-상태: 통과 / / malicious_domain / malicious_domain / / 기본값

보안 운영 센터는 Microsoft Office 365 사용자를 대상으로 하는 피싱 URL로 연결되는 이메일 링크를 추적했습니다. 이 URL은 전 세계 여러 위치의 손상된 사이트로 리디렉션되었습니다.

이메일 제목만 보면 조직의 도메인을 스푸핑한 사람이 보낸 이메일인지 알 수 없습니다. 우리는 Office 365와 같은 다양한 온라인 서비스에 로그인하라는 업무 또는 계정 관련 이메일을 꾸준히 받는 데 익숙합니다. 도메인 스푸핑은 이러한 점을 악용하여 가짜 악성 이메일을 진짜와 구별할 수 없게 만듭니다. 이메일을 철저히 분석하지 않으면 신뢰할 수 있는 출처에서 보낸 이메일인지 알 수 있는 방법이 거의 없습니다. 매일 수십 개의 이메일이 쏟아지는 상황에서 모든 이메일을 꼼꼼히 살펴볼 시간이 있는 사람은 아무도 없습니다. 유일한 해결책은 내 도메인에서 전송된 모든 이메일을 확인하고 권한 없이 보낸 사람이 보낸 이메일만 차단하는 인증 메커니즘을 사용하는 것입니다.

이러한 인증 메커니즘을 DMARC라고 합니다. 세계 최고의 이메일 보안 솔루션 제공업체 중 하나인 PowerDMARC는 조직의 도메인을 보호하는 것의 중요성을 이해하도록 하는 것을 사명으로 삼고 있습니다. 자신뿐만 아니라 여러분을 신뢰하고 의지하는 모든 사람들이 매번 받은 편지함에서 안전하고 신뢰할 수 있는 이메일을 받을 수 있도록 하기 위해서입니다.

스푸핑의 위험성에 대한 자세한 내용은 https://powerdmarc.com/stop-email-spoofing/ 에서 확인할 수 있습니다.

스푸핑으로부터 도메인을 보호하고 브랜드를 강화하는 방법을 여기에서 확인하세요( https://powerdmarc.com/what-is-dmarc/).