가짜 Gmail 로그인 페이지가 인증 정보를 훔칩니다

새로운 Gmail 피싱 공격이 사용자들을 가짜 음성메일 알림으로 속이고, 매우 정교한 설정을 통해 로그인 정보를 훔치고 있습니다.

Anurag에 의해 처음으로 발견된 이번 캠페인은 “New Voice Notification” 알림으로 위장된 이메일로 시작됩니다. 이 메시지는 신뢰할 수 있는 음성 메시지 서비스에서 온 것처럼 보이며, “Listen to Voicemail” 버튼을 포함하고 있습니다. 이 버튼을 클릭하면 피해자들은 일련의 해킹된 웹사이트를 통과하게 됩니다.

첫 번째 단계는 특히 속이기 쉽습니다. 이는 마이크로소프트의 합법적인 Dynamics 마케팅 플랫폼(assets-eur.mkt.dynamics.com)에서 진행됩니다. 이런 신뢰할 수 있는 인프라의 사용은 공격에 신뢰성을 부여하고, 일반적인 이메일 보안 필터를 피해갈 수 있게 돕습니다.

이후에 사용자들은 파키스탄에 등록된 ‘horkyrown[.]com’이라는 도메인의 CAPTCHA 페이지로 이동시킵니다. CAPTCHA는 악의적인 설정의 일부임에도 불구하고 안전감을 잘못 주입시킵니다. 마지막 단계는 구글 브랜딩이 완벽하게 반영된 Gmail 로그인 페이지의 흠잡을 데 없는 복제본을 보여줍니다.

사용자들이 자신의 정보를 입력하면, 이 시스템은 이메일과 비밀번호뿐만 아니라 2단계 인증 코드, 백업 복구 코드, 심지어 보안 질문의 답변까지도 포착합니다. 이 데이터는 피해자들이 속았다는 사실을 깨닫기 전에 해외 서버로 추출됩니다.

아누라그는 “가짜 로그인 페이지를 지원하는 악의적인 자바스크립트가 복잡한 난독화 방법을 사용한다”고 지적했습니다. 이 코드는 AES 암호화를 사용하여 목적을 숨기고, 사용자가 이것을 조사하려고 하면 실제 구글 로그인 페이지로 리디렉션하는 반 디버깅 도구를 포함하고 있습니다..

전문가들은 이번 캠페인이 “피싱 기술의 중요한 진화”를 나타내며, 사회 공학과 합법적인 인프라스트럭처 남용 및 고급 기술 회피 방법을 결합한다고 경고하고 있습니다.

Gmail 사용자들은 예상치 못한 음성 메일 알림에 대해 주의를 기울이고, 항상 공식 구글 채널을 통해 로그인 요청을 확인해야 합니다. 만약 자신이 표적으로 삼혔다고 의심되는 사람들은 즉시 비밀번호를 변경하고 최근 계정 활동을 검토해야 합니다.