뉴스:
멘로 시큐리티, 구글과 전략적 파트너십 발표
__wf_예약_상속

망가뜨린 적 있으세요?가짜 아마존 및 USPS 업데이트 메시지를 이용해 모바일 사용자를 겨냥한 대량 스미싱 작전

Krishnan Subramanian
|
April 27, 2021
__wf_예약_상속

스미싱 (SMS 피싱) 이란 무엇인가요?

이달 초부터 모바일 사용자는 조직적인 스팸 작전 캠페인으로 보이는 스미싱 메시지를 표적으로 삼기 시작했습니다.스미싱은 매우 비슷합니다. 피싱단, 공격자는 이메일을 보내는 대신 SMS (단문 메시지 서비스) 를 사용하여 문자 메시지를 보냅니다.즉, 이 스미싱 캠페인은 가짜 미국 우정청 (USPS) 또는 FedEx 배송 업데이트뿐 아니라 가짜 Amazon 로열티 프로그램 보상도 문자 메시지로 전송했다는 의미입니다.

이 블로그에서는 모바일 장치에서 이러한 링크를 방문할 때 발생할 수 있는 위험과 제로 트러스트 아키텍처에서 모바일 장치를 고려해야 하는 이유에 대해 중점적으로 살펴보겠습니다.제로 트러스트는 모든 웹 콘텐츠가 유해하다고 가정하고 사용자의 기기에서 어떤 웹사이트도 코드를 실행하지 못하도록 합니다.이러한 접근 방식은 사용자의 업무 수행을 방해하지 않으면서 신뢰할 수 없는 행위자로부터 사용자를 보호합니다.

스미싱 캠페인 타겟

이 스미싱 캠페인은 기기에 구애받지 않는 것 같습니다.캠페인은 리디렉션 메커니즘을 사용하여 클라이언트 브라우저와 기기에 따라 다양한 랜딩 페이지를 제공합니다.

diagram showing smishing campaign targets

가짜 콘텐츠를 제공하는 데 사용되는 최종 랜딩 페이지 링크는 한 번만 생성됩니다.이러한 링크를 오프라인으로 방문하거나 재생하려고 하면 HTTP 404 오류가 발생합니다.

다음 이미지는 클라이언트 디바이스에 따른 다양한 랜딩 페이지 테마를 보여줍니다.

screenshot of different smishing landing pages

스미싱 캠페인은 데스크톱과 모바일 기기 사용자 모두를 대상으로 했지만 USPS, FedEx 및 UPS를 포함한 우편 운송업체의 가짜 배송 업데이트를 통해 모바일 사용자를 타겟팅하는 데 초점을 맞추고 있는 것으로 보입니다.사용자는 랜딩 페이지로 이동하며 신용 카드 세부 정보와 기타 개인 정보를 제공하라는 메시지가 표시됩니다.

인프라스트럭처

다음 표는 스미싱 캠페인의 여러 단계에서 도메인을 호스팅하는 데 사용되는 클라우드 공급자를 보여줍니다.

초기 URL 리디렉션 URL (301/302) 랜딩 페이지 URL 프로토콜HTTP

프로토콜:

HTTPS (인증서를 암호화하자)

프로토콜:

HTTP/HTTPS (암호화해 봅시다)

호스팅 제공업체:

알리바바

호스팅 제공업체:

리스웹 아마존 업클라우드 어드바니아 아이슬란드

호스팅 제공업체:

클라우드플레어 아마존

DNS 제공업체:

유니레지스트리

DNS 제공업체:

이름:CheapgoDaddy

URL 분류는 고양이를 키우는 것과 같습니다

URL은 스미싱 공격에 사용됩니다.이러한 URL의 수명은 일반적으로 매우 짧으며 '알 수 없음'으로 분류됩니다.짧은 기간 내에 URL에 액세스하지 않으면 도메인이 사라지거나 링크에서 HTTP 404 오류 메시지가 반환됩니다.

  • 초기 URL 도메인을 샘플링한 결과 이러한 초기 URL의 대부분은 다음과 같이 분류되었습니다. 알 수 없음 인기 있는 URL 분류 제공업체가 제공합니다.이 블로그를 작성하는 시점에만 19퍼센트 AV 공급업체에서 초기 URL 도메인 중 일부를 악성으로 신고했습니다.
  • 초기 URL의 수명은 매우 짧습니다.캠페인은 모바일 사용자에게 스미싱 메시지를 전송하며 링크가 비교적 빠르게 클릭될 것으로 예상합니다.몇 분 후 도메인이 삭제되거나 링크에서 HTTP 404 오류가 반환됩니다.
  • 랜딩 페이지 URL은 적절한 방향 체인과 초기 장치를 통과할 때만 작동하는 일회성 방문 링크로 생성됩니다.자동 URL 검색 또는 재생 도구에서 이러한 랜딩 페이지 URL로 이동하려고 하면 HTTP 404 오류가 발생할 가능성이 높습니다.

위의 점을 고려하면 URL 분류 및 탐지 공급업체가 이를 따라잡으려면 시간이 더 오래 걸립니다.이러한 유형의 분류 지연은 흔히 “Green to Red”라는 용어로 불리는데, 이는 URL이 클릭 당시에는 양성 또는 알 수 없는 것으로 분류되었다가 (녹색) 이후에 악성 또는 스팸으로 분류되었음을 의미합니다 (RED).

diagram showing time to URL categorization

출처: 바이러스토탈구글 세이프 브라우징 (GSB) 의 초기 URL과 랜딩 페이지 URL의 탐지율도 매우 낮았습니다.GSB와 비교하여 모든 URL을 검사할 수는 없었지만 무작위 샘플링을 통해 안전하지 않은 것으로 신고되지 않은 랜딩 페이지 URL 5개와 초기 URL 5개가 발견되었습니다.

screenshot of url with no unsafe content found

IOC

초기 URL 도메인 IP (.com/.info TLD에서 호스팅) :47 [.] 243 [.] 34 [.] 15147 [.] 242 [.] 3547 [.] 242 [.] 242 [.] 110 [.] 196

샘플 초기 링크 URL (모바일):

hxxp [://] w7fzc [.] 정보/FU8PROXD35Hxxp [://] w4fza [.] info/jdsdorwycoHxxp [://] t9fzc [.] info/HXPL1O5BD2Hxxp [.] com/kblafmo4IRHxxp [:/] gh18n [.] com/lteyd8wma5

랜딩 페이지 IP (.best/.today TLD에서 호스팅):

3 [.] 233 [.] 37 [.] 12104 [.] 21 [.] 29 [.] 241

샘플 랜딩 페이지 URL (데스크톱):

hxxps [://] boot-up 극도로 최고의 프로그레시브 파일 [.] Best/uim0AFFKHWFXTEQFD8Q4XELJ60AE4ZNSPM7HMPVZAU?cid=71c7b44bf1e965b9afc7a61c63d26f98&sid=14872535hxxps [://] boot-upnewest-bestextremelyfile [.] best/yjmtjuqt15z23hf9ohcxrxrxl010NUOQ99M60?cid=09e93672f5d209ac48f4f7751a109c6f&sid=14872535hxxps [://] boot-uporiginal-bestoverlyfile [.] best/zlzpdmrpvkfxnouzcnqrjx5_ryyjjccQLCH7 LCSRVH0?clck=401228329111265625&sid=3877104hxxps [://] boot-upgreatly-bestlatestfile [.] best/rrovk9jjbc9piczuupv3npxwmio9v49eqjouCWVEXJQ?cid=65562769b11b8011f6c59dce3b2f751d&sid=15888588

샘플 랜딩 페이지 URL (모바일):

hxxps [://] usps-na [.] 위너 오브 [.] today/mm/u25k7hbp/index [.] phphxxps [://] ups-na [.] 위너오브 [.] today/mm/k9bcvi9c/index [.] php?Clickid=OUT&CRID=80002437&CG=T2B8T38Q0npyJ7&SOURCE=187425779&TARGET=TS5603-SMS-A-3-US&camid=59639&br=Unknown&lpkey=160D173C74F1044011&CLICKCOST=0 [.] 06&S2=DE03B2TBZDUBGI47EB&S3=27&S4=80002437&S5=US&S6=1&도메인=리디렉션 [.] 위너 오브 투데이&uclick=2tbzdubgi4-2tbzdubgi4-16ir-0-e2ci-gmzwwj-gmikwj-d5d8f8&user=bc9b36b878374b8e85cc3f2ece0f9aa6&country=enhxxps [://] fedex-na [.] 위너오브 [.] 투데이/mm/h26slqns/index [.] php

결론

작년에 원격 근무가 급증하면서 모바일 스미싱과 피싱 공격이 모두 증가하고 있습니다.사람들은 업무용으로 개인 디바이스를 사용할 가능성이 더 높습니다.기업 네트워크에 연결되어 있지 않으면 사람들이 더 취약해질 수도 있습니다.모바일 기기와 브라우저는 제로 데이를 악용하고 사회적으로 조작된 피싱 공격을 감행하려는 사이버 공격자의 유인 표적입니다.그러나 많은 조직에서 모바일 보안은 사후 고려 사항으로 취급됩니다.이러한 공격을 방지하려면 회사에서 배포를 검토하는 것이 좋습니다. 모바일 브라우저 격리 솔루션—사용자가 스마트폰과 태블릿에서 인터넷과 이메일에 액세스할 때 발생하는 스미싱, 피싱 및 맬웨어 공격의 위협을 제거하도록 설계된 서비스입니다.회사와 사용자를 스미싱으로부터 보호하기 위한 팁

  • 에 투자하세요 가시성 솔루션 모바일 디바이스까지 확장할 수 있는 신뢰할 수 있는 보안 공급업체에서 제공합니다.
  • 채택 a 제로 트러스트 아키텍처 모바일 장치용.
  • 출처를 알 수 없는 문자 메시지의 링크를 클릭하려는 유혹을 물리칠 수 있도록 사용자를 교육하고 인지도를 높이세요.

Menlo Labs는 고객이 성능 저하 없이 안전하게 연결, 커뮤니케이션 및 협업하는 여정을 지원하는 인사이트, 전문 지식, 컨텍스트 및 도구를 제공합니다.이 엘리트 집단과 이들이 지역에서의 활동에 대해 자세히 알아보십시오. 격리 보안 운영 센터

블로그 카테고리
__wf_예약_상속__wf_예약_상속__wf_예약_상속__wf_예약_상속