울지않는벌새 : Security, Movie & Society

AWS 송장 만기 메일을 이용한 아마존 피싱 사이트 주의 (2019.10.12)

벌새::Analysis

최근 기업을 대상으로 메일을 발송하여 아마존 웹 서비스(AWS : Amazon Web Services) 계정을 탈취하기 위한 피싱(Phishing) 사이트로 유도하는 사례가 확인되어 살펴보도록 하겠습니다.

 

아마존에서 발송한 것처럼 위장한 피싱 메일

"Your invoice (100421) with Amazon Web Service is due" 제목으로 수신된 메일에서는 AWS 송장 만기에 따라 지불을 위해 메일에 포함된 링크(URL)를 클릭하여 이메일 주소와 비밀번호로 로그인하도록 안내하고 있습니다.

 

메일 본문에 포함된 링크 소스 정보

https://aws.amazon.com/payment/100421
 → http://aws.amazon.com.signin.redirect.uri.new.session.12.thepagemaster.de/?<생략>

메일 본문에 표시된 주소는 정상적인 아마존(Amazon) 주소이지만 실제 링크를 클릭할 경우에는 "thepagemaster.de" 도메인으로 연결되도록 구성되어 있습니다.

 

AWS 로그인 피싱(Phishing) 페이지

연결된 페이지를 확인해보면 https 보안 접속이 아닌 http 주소를 사용하는 AWS 로그인 피싱(Phishing) 페이지로 연결하며 외형적으로는 실제 로그인 페이지와 동일하여 주소창을 제대로 확인하지 않을 경우 속을 수 있습니다.

 

피싱(Phishing) 사이트 주소창 세부 정보

해당 피싱(Phishing) 사이트 URL 주소를 확인해보면 앞 부분(aws.amazon.com) 부분만을 확인할 경우 쉽게 속을 수 있으므로 항상 메일에서 제공하는 링크를 통해 사이트에 접속할 경우에는 마지막에 표시된 URL 주소 부분을 확인하는 습관이 필요합니다.

 

로그인 정보 전송 로그

만약 해당 피싱 사이트에 계정 정보를 입력한 후 로그인을 시도할 경우 입력한 정보 및 사용자 IP 주소가 외부로 전송되는 것을 확인할 수 있습니다.

 

정보 수집 후 연결된 정상 AWS 로그인 페이지

공격자가 원하는 로그인 정보가 수집된 후에는 실제 AWS 로그인 페이지로 연결하여 사용자로 하여금 눈치채지 못하게 하는 마지막 동작이 이루어집니다.

 

일반적으로 자신이 피싱(Phishing) 사이트에 속아 정보를 전송한 경우에는 최대한 빠른 시간 내에 계정 로그인에 필요한 비밀번호를 변경하고 2중 인증을 통해 보안을 강화하는 것이 좋으며, 이번 사례와 같이 메일에 포함된 링크를 클릭하기 앞서 반드시 링크에 마우스 우클릭을 통한 속성 확인을 통해 실제 연결되는 주소(URL)가 어디인지 다시 확인하는 습관이 필요하겠습니다.