최근 활동 사기 검토

사이버 보안 연구원들이 '최근 활동 검토' 사기로 알려진 광범위한 피싱 캠페인을 적발했습니다. 이러한 메시지는 수신자의 웹메일에 의심스러운 로그인이 있었다고 허위로 주장하며, 사용자에게 가짜 로그인 페이지로 연결되는 버튼을 클릭하여 계정을 '보안'하도록 유도합니다. 이러한 이메일은 악성 스팸이며 cPanel, 웹메일 제공업체 또는 기타 합법적인 회사, 조직 또는 서비스와 관련이 없습니다. 이러한 이메일은 사용자 인증 정보를 훔치고 악성 코드를 유포하려는 적대적인 시도로 간주해야 합니다.

이메일 미끼

일반적인 메시지(제목은 다양하며, 가장 흔한 예로는 '웹메일 계정에서 최근 로그인 활동이 감지되었습니다. 확인해 주십시오'로 시작하는 경우가 있습니다)는 조작된 활동 요약을 제시합니다. 일반적으로 서로 다른 지역(주로 아프리카, 유럽, 북미)에서 최근 세 번의 로그인이 있었다고 주장합니다. 이 메시지는 수신자에게 즉시 계정을 검토하거나 보안을 강화할 것을 촉구합니다. 긴급성을 높이기 위해 접근이 제한될 것이라는 경고를 하거나, 생각 없이 행동하도록 유도하는 과장된 표현을 사용합니다. '계정 보안' 버튼이 함정입니다. 이 버튼은 합법적인 이메일 로그인 양식처럼 위장한 인증 정보 수집 페이지로 리디렉션됩니다.

사기가 진행되는 방식

피싱 페이지에 이메일 주소와 비밀번호를 입력하면 공격자는 해당 자격 증명을 가로채 다음과 같은 공격을 할 수 있습니다.

• 받은 편지함을 장악하여 메시지를 읽거나 삭제합니다.
• 연락처에 피싱이나 사기 메시지를 보냅니다(대개 본인인 척).
• 비밀번호 재설정 흐름을 사용하여 연결된 서비스(소셜 네트워크, 매장, 뱅킹, 클라우드 스토리지 등)를 제어합니다.
• 사기 행위를 저지르거나, 연락처에 돈을 요청하거나, 맬웨어 및 악성 링크를 배포합니다.
• 지하시장에서 로그인 정보와 개인 데이터를 판매합니다.

피싱 이메일을 발견하는 방법

• 요청하지 않은 최근 로그인에 대한 예상치 못한 '보안 알림'이 표시되었습니다.
• 긴급한 언어 사용과 계정 해지 또는 정지 위협.
• '보안 계정'/'활동 검토'라고 표시된 눈에 띄는 버튼이나 링크가 익숙하지 않은 URL을 가리킵니다.
• 텍스트가 엉성하게 작성되었거나 로고, 발신자 주소 또는 서식에 미묘한 불일치가 있습니다(일부 캠페인은 매우 세련되어 보이지만).

스팸 이메일의 위험

이러한 스팸 전송에는 맬웨어를 유포하는 첨부 파일이나 링크가 포함될 수도 있습니다. 이와 같은 캠페인에서 흔히 발견되는 악성 첨부 파일 유형은 다음과 같습니다. 압축 파일(ZIP, RAR), 실행 파일(.exe, .run), Office 문서(Word, Excel), PDF, OneNote 파일, JavaScript. 일부 파일 유형은 추가 사용자 작업이 필요합니다. 예를 들어 Office 문서는 매크로를 활성화하도록 요청할 수 있고, OneNote 파일은 포함된 링크를 사용할 수 있습니다. 하지만 이러한 작업이 수행되면 맬웨어 설치 체인이 시작될 수 있습니다.

결론

'최근 활동 검토' 캠페인은 공격자들이 두려움과 긴박감을 무기로 삼아 자격 증명을 수집하고 악성 코드를 유포하는 전형적인 사례입니다. 합법적인 서비스 제공업체가 원치 않는 이메일 링크를 통해 즉각적인 인증을 요구하는 경우는 드물며, 진짜 보안 알림은 서비스 제공업체 공식 웹사이트를 통해 계정에 직접 로그인하거나 지원팀에 문의하여 확인할 수 있습니다. 경계 태세, 고유 비밀번호, 그리고 2단계 인증(2FA)이 최선의 방어책입니다. 이미 해킹을 당했다면 신속하게 조치를 취하십시오. 비밀번호를 변경하고, 2단계 인증을 활성화하고, 시스템을 검사하고, 영향을 받은 서비스 제공업체에 알리십시오.