최근 Adobe, Netflix, Coca-Cola, OpenAI 등 30개 이상의 유명 브랜드를 사칭한 피싱 캠페인이 마케팅 전문가를 대상으로 구글 계정 자격 증명을 탈취하고 있는 것으로 나타났다. 공격자는 PeopleForce와 Salesforce Marketing Cloud 등 합법적인 클라우드 기반 인사 및 마케팅 플랫폼을 악용해 피해자를 악성 랜딩 페이지로 유도하고 있다. 신뢰도를 높이기 위해 실제 기업의 리크루터 이름과 사진까지 도용하는 치밀함을 보이고 있다.
Team Cymru의 Will Thomas 선임 어드바이저에 따르면, 이 피싱 이메일은 마치 마케팅 직무 채용을 위한 리크루터가 보낸 것처럼 위장되어 있다. 공격자는 항공, 식음료, 명품, IT, 컨설팅 등 다양한 업종의 34개 도메인을 활용해 피해자를 유인한다. 이메일 내 링크는 여러 합법적인 서비스(예: ExactTarget, Wise Agent)를 거쳐 최종적으로 피싱 랜딩 페이지로 연결되는 '중첩 리디렉션' 기법을 사용한다.
피해자가 구글 계정으로 로그인하도록 유도하는 과정에서, 실제 구글 인증 팝업처럼 보이도록 HTML과 CSS로 제작된 '브라우저-인-브라우저(BitB)' 기술이 활용된다. 공격자는 합법적인 플랫폼의 계정 생성 또는 탈취를 통해 리디렉션 체인과 랜딩 페이지를 구성한 것으로 추정된다. 이번 피싱 캠페인에 사용된 도메인 목록은 Will Thomas의 GitHub 분석에서 확인할 수 있다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.