사이버 보안 연구원들은 정부 기관과 암호화폐 회사 모두에게 심각한 위협이 되는 코드명 ‘크립토카멜레온(CryptoCameleon)’이라는 고도로 정교한 피싱 캠페인을 발견했다.
아직 신원이 확인되지 않은 위협 행위자가 시도하고 있는 이 캠페인은 널리 사용되는 인증 서비스인 옥타(Okta)의 싱글 사인온(SSO) 페이지를 사칭하는 새로운 피싱 키트를 활용한다.
공격자는 다각적인 사회 공학 전술을 사용하여 피해자가 사용자 이름, 비밀번호, 심지어 사진 신분증과 같은 민감한 정보를 유출하도록 속이고 있다.
이번 조사를 주도하고 있는 사이버 보안 업체 룩아웃 보고서에 따르면, 이번 캠페인의 주요 표적은 연방통신위원회(FCC) 직원과 바이낸스, 코인베이스, 크라켄, 제미니 등 주요 암호화폐 플랫폼 사용자다. 공격자들은 이러한 서비스의 합법적인 로그인 포털을 매우 유사하게 모방한 그럴듯한 피싱 페이지를 만들기 위해 많은 노력을 기울였다. 이메일, SMS, 보이스 피싱의 조합을 통해 계정 복구 또는 보안 알림을 가장하여 피해자를 사기 페이지로 유인한다.
공격자의 수법은 교활할 정도로 정교하다. 공격자들은 먼저 공격 대상의 도메인과 매우 유사한 도메인을 등록하는 것으로 시작한다. 실제 Okta SSO 페이지와 단 한 글자만 다를 뿐이다. 이 수법은 피해자가 피싱 페이지의 사기성을 식별하기 어렵게 만든다.
피해자가 피싱 페이지에 접속하면 표면적으로는 봇을 걸러내고 프로세스의 정당성을 부여하기 위해 보안 문자를 해결하라는 메시지가 표시된다. 이 장애물을 통과하면 피해자에게는 정교하게 제작된 진짜 Okta 로그인 사이트의 복제본이 표시된다. 이 페이지는 모든 세부 사항을 세심하게 복제하고 있다.
크립토카멜레온 피싱의 정교함은 단순한 모방을 넘어선다. 공격자는 피해자와 실시간으로 상호 작용하여 다단계 인증(MFA) 코드를 포함한 추가 인증을 요청하는 등의 시나리오를 활용한다.
이 캠페인으로 이미 100개 이상의 조직이 공격자의 전술에 상당한 피해를 입은 것으로 조사됐다.
정부 기관과 가상화폐 기업 모두 경계를 늦추지 말고 강력한 보안 조치를 구현해야 한다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
