울지않는벌새 : Security, Movie & Society

MS Office 365 계정을 노리는 피싱(Phishing) 사이트 주의 (2019.12.6)

벌새::Analysis

최근 Microsoft OneDrive에 저장되어 있는 PDF 문서를 보도록 유도하는 이메일을 발송하여 가짜 로그인 페이지로 MS Office 365 계정 정보를 수집하는 사례가 확인되어 살펴보도록 하겠습니다.

 

"New Document For <이메일 주소>" 제목의 메일

"New Document For <이메일 주소>" 제목으로 수신된 메일에서는 MS OneDrive에 저장된 PDF 문서를 보도록 "View Document" 버튼이 포함되어 있습니다.

 

"View Document" 링크 소스 정보

메일에 포함된 "View Document" 버튼의 링크 소스를 확인해보면 MS OneDrive 주소가 아닌 "http://www.nw3639gw.puddlekickers[.]com/#https%3A%2F%2Fairlinkcpl[.]net/i/%2FZS%2F%A1%26emzo%3Dlyn%26lin%3D<이메일 주소>&546756478574=key" 주소로 연결되어 있는 것을 알 수 있습니다.

 

가짜 Microsoft 로그인 페이지

이를 통해 최종적으로 연결된 페이지는 외형적으로는 마이크로소프트(Microsoft) 로그인 페이지 모습을 보이고 있지만 웹 브라우저의 주소창에 표시된 URL 주소를 확인해보면 "https://airlinkcpl[.]net/i//ZS/7aa2e7caf272734794afdf233fe60ea3/enterpassword[.]php?e37Ji41575282366763b0ba017f97050e64ac7c0ec930748763b0ba017f97050e64ac7c0ec930748763b0ba017f97050e64ac7c0ec930748763b0ba017f97050e64ac7c0ec930748763b0ba017f97050e64ac7c0ec930748&AP___=<이메일 주소>&error=" 형태임을 알 수 있습니다.

 

로그인 이후 진행 모습

만약 가짜 로그인 페이지에서 사용자가 부주의하게 비밀번호를 입력한 경우 다음 단계에서는 정상적으로 MS Office 365 페이지에 접속하는 것처럼 구성된 진행 과정을 보여준 후 실제로 접속이 이루어집니다.

 

하지만 이 과정에서 입력된 MS Office 365 계정 정보는 외부로 유출되어 이후 수집된 정보를 이용하여 악의적인 피해를 유발할 것입니다.

 

그러므로 메일을 통해 MS OneDrive에 존재하는 파일 다운로드를 통해 로그인을 요구할 경우에는 반드시 접속한 로그인 페이지의 URL 주소를 잘 확인하여 의심스러운 경우에는 계정 정보를 입력하는 일이 없도록 주의하시기 바랍니다.