헬프데스크 피싱 캠페인이 조직의 마이크로소프트 Active Directory Federation Services(ADFS)를 대상으로 하여, 위장된 로그인 페이지를 통해 자격증명을 훔치고 다중 요소 인증(MFA) 보호를 우회하고 있습니다. 이 캠페인의 주요 대상은 교육, 의료, 정부 기관이며, 적어도 150개의 대상을 공격하고 있다고 Abnormal Security가 밝혔습니다. 이러한 공격들은 기업 이메일 계정에 접근하여 조직 내 추가 피해자에게 이메일을 보내거나, 결제가 위협 행위자의 계정으로 전환되는 비즈니스 이메일 손상(BEC)과 같은 재정적으로 동기화된 공격을 수행하는 것을 목표로 합니다.
공격자들은 피해자의 회사 IT 팀을 가장하여 이메일을 보내, 보안 설정을 업데이트하거나 새로운 정책을 수락하도록 로그인하라고 요청합니다. 내장된 버튼을 클릭하면 피해자는 자신의 조직의 실제 ADFS 로그인 페이지와 똑같이 보이는 피싱 사이트로 이동합니다. 피싱 페이지는 피해자에게 사용자 이름, 비밀번호, MFA 코드를 입력하거나 푸시 알림을 승인하도록 요구합니다.
피해자가 모든 정보를 제공하면, 그들은 합법적인 로그인 페이지로 리디렉션되어 프로세스가 성공적으로 완료된 것처럼 보이게 하고, 의심을 줄입니다. 한편, 공격자들은 즉시 훔친 정보를 이용하여 피해자의 계정에 로그인하고, 귀중한 데이터를 훔치고, 새로운 이메일 필터 규칙을 만들고, 측면 피싱을 시도합니다.
요약
- 헬프데스크 피싱 캠페인이 마이크로소프트 Active Directory Federation Services(ADFS)를 대상으로 하여, 위장된 로그인 페이지를 통해 자격증명을 훔치고 다중 요소 인증(MFA) 보호를 우회하고 있다.
- 공격자들은 피해자의 회사 IT 팀을 가장하여 이메일을 보내, 보안 설정을 업데이트하거나 새로운 정책을 수락하도록 로그인하라고 요청한다.
- 피해자가 모든 정보를 제공하면, 그들은 합법적인 로그인 페이지로 리디렉션되어 프로세스가 성공적으로 완료된 것처럼 보이게 하고, 의심을 줄인다.
- 한편, 공격자들은 즉시 훔친 정보를 이용하여 피해자의 계정에 로그인하고, 귀중한 데이터를 훔치고, 새로운 이메일 필터 규칙을 만들고, 측면 피싱을 시도한다.
- 이러한 피싱 공격은 ADFS를 직접 침해하지 않고, 사회 공학에 의존하여 작동하며, 사용자들이 익숙한 로그인 작업에 대한 본질적인 신뢰 때문에 그 효과성이 두드러진다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.