보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

에스에스앤씨, ‘인스타그램 사용자’ 표적 삼는 ‘이메일 피싱공격’ 주의보

입력 : 2023-11-21 13:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사회공학적 공격 수법 여전...인스타그램 2단계 인증 단계도 무색하게 만드는 계정 탈취 수법 발견

[보안뉴스 이소미 기자] IT 보안 전문 기업 에스에스앤씨(대표 한은혜)는 최근 메타(Meta)를 사칭해 인스타그램 사용자를 표적으로 삼는 피싱 공격에 대한 개인의 주의를 당부했다.

▲메타 사칭 이메일, 사용자가 저작권을 침해했다며 계정이 삭제되는 것을 방지하기 위한 링크 클릭 유도[이미지=에스에스앤씨]


이메일 보안 솔루션인 ‘퍼셉션포인트’를 통해 발견된 이번 ‘이메일 공격’은 인스타그램 사용자에게 해당 사용자가 인스타그램 내에서 저작권을 침해했다고 이메일로 안내하며, 해당 계정이 ‘48시간 이내에 서비스에서 영구 삭제’ 되는 것을 방지하기 위해서는 제공된 링크를 클릭하고 ‘이의신청 양식’을 제출하도록 유도하는 방식이다. 이 링크를 클릭하면 사용자는 항소 양식으로 연결되는 다른 링크를 클릭하도록 또 다른 웹페이지로 리디렉션된다. 이 공격의 독특한 점은 클릭 가능한 여러 요소에 인스타그램의 실제 웹사이트로 연결되는 링크가 포함돼 있어 사용자가 피싱 공격임을 쉽게 알아채지 못하도록 한다는 점이다.

퍼셉션포인트의 보안 연구원은 “이번 공격방식은 실제 인스타그램의 계정 2단계 인증 페이지로 연결시킴으로써 사용자가 사기 공격인지 알아채지 못하게 안심시킨 뒤 계정정보를 추가 입력하는 페이지로 유도한다는 점에서 경각심을 가져야 한다”고 말했다. 이어 “최근 공격방식이 2단계 인증 프로세스를 우회하는 방식으로 진화하고 있어 개인의 주의만으로는 부족해 해당 공격을 탐지하고 방어할 수 있는 보안 프로토콜 강화가 필요하다”고 강조했다.

▲실제 인스타그램 2단계 인증 페이지에서 백업코드 입력 유도[이미지=에스에스앤씨]


한은혜 대표는 “최근 진화하고 있는 이메일 공격은 정교한 사회공학 전술을 능숙하게 사용해 높은 신뢰도를 보유한 브랜드 사칭과 긴급한 사기 시나리오의 결합으로 아무리 조심성이 강한 사용자라도 무장해제시킨다”면서, “이 같은 사회공학적 보안 위협에 직면하는 강화된 보안 인식과 최첨단 보안 솔루션이 개인과 조직에게 반드시 필요한 시점”이라고 솔루션 강화 필요성을 밝혔다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)