실제 인스타그램 웹사이트 링크 삽입해 피싱 인지 못하게 해
[데이터넷] 에스에스앤씨(대표 한은혜)는 메타를 사칭해 인스타그램 사용자를 표적으로 삼는 피싱 공격에 대한 개인의 주의를 당부했다.
이메일 보안 솔루션인 퍼셉션포인트를 통해 발견된 이번 이메일 공격은 인스타그램 사용자에게 해당 사용자가 인스타그램 내에서 저작권을 침해했다고 이메일로 안내하며, 해당 계정이 “48시간 이내에 서비스에서 영구 삭제” 되는 것을 방지하기 위해서는 제공된 링크를 클릭하고 “이의신청 양식”을 제출하도록 유도하는 방식이다. 이 링크를 클릭하면 사용자는 항소 양식으로 연결되는 다른 링크를 클릭하도록 또 다른 웹페이지로 리디렉션 된다.
이 공격의 독특한 점은 클릭 가능한 여러 요소에 인스타그램의 실제 웹사이트로 연결되는 링크가 포함돼 있어 사용자가 피싱 공격임을 쉽게 알아채지 못하도록 한다는 점이다.
퍼셉션포인트의 보안 연구원은 “이번 공격방식은 실제 인스타그램의 계정 2단계 인증 페이지로 연결시켜 사용자가 사기공격인지 알아채지 못하게 안심시킨 다음 계정정보를 추가 입력하는 페이지로 유도한다는 점에서 경각심을 가져야 한다”며 “최근 공격방식이 2단계 인증 프로세스를 우회하는 방식으로 진화하고 있어 개인의 주의 만으로는 부족해 해당 공격을 탐지하고 방어할 수 있는 보안 프로토콜 강화가 필요하다”고 강조했다.
한은혜 에스에스앤씨 대표는 “최근 진화하고 있는 이메일 공격은 정교한 사회 공학 전술을 능숙하게 사용해 높은 신뢰도를 보유한 브랜드 사칭과 긴급한 사기 시나리오의 결합으로 아무리 조심성이 강한 사용자라도 무장 해제시킨다”며 “이와 같은 사회 공학적 보안 위협에 강화된 보안 인식과 최첨단 보안 솔루션이 개인과 조직에게 반드시 필요하다”고 밝혔다.
