끝없는 피싱 사기: 맹렬히 활동하는 ‘나탈리 해밀턴(Natalie Hamilton)’과 전동 드릴
편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai 연구원들은 2022년 3월부터 다양하고 정교한 난독화 기법을 통해 활동 중인 사기 캠페인을 추적하고 있습니다.
이러한 사기는 랜딩 페이지가 삭제되었음에도 불구하고 백엔드 인프라가 여전히 탄력적으로 유지되고 있습니다. 해당 인프라를 통해 악의적으로 재라우팅된 방문자는 수백만 명에 달합니다.
라우팅 사이트 하나의 트래픽을 분석한 결과 이러한 사기가 공격자에게 얼마나 높은 매출을 가져다주는지 알 수 있었습니다. 공격자들은 악성 도메인 하나당 1년에 최소 5천~15만 달러(최소)를 벌어들이는 것으로 추정됩니다.
지속적인 리서치를 통해 4만 개 이상의 악성 라우팅 도메인과 사기 인프라의 프런트엔드로 사용되는 여러 템플릿 사이트가 연결되어 있는 것을 발견할 수 있었습니다. 20개 이상의 호스팅 공급업체에서 호스팅하는 1만 3천 개의 사이트가 동시에 활성화된 적도 있습니다.
사기 인프라에 대한 트래픽을 분석한 결과, 잠재적 피해자의 58%가 남성이며 피해자의 28%는 25세에서 34세 사이의 연령대인 것으로 나타났습니다.
이 인프라는 공격자가 사기 사이트의 바탕이 되는 인프라를 유지하기 위해 얼마나 많은 작업과 정밀한 노력을 기울이는지 보여줍니다. 또한 공격자와 방어 제품 및 서비스 간의 격차도 명확히 보여줍니다. 방어는 주로 탐지와 차단에 중점을 두는 반면, 공격자는 사기가 탐지되는 것이 불가피하다는 사실을 인정하고 이를 회피하기 위해 난독화를 적용합니다.
요약
Akamai는 2022년 11월, 블로그 게시물 을 통해 연말 분위기에 젖은 온라인 쇼핑객을 노린 정교한 피싱 사기를 소개했습니다. 피싱 캠페인은 정상적인 리테일 기업에서 보낸 것처럼 보이는 이메일로 경품 당첨 기회를 제공한다고 홍보하며 연말연시 분위기에 편승해 잠재적인 피해자의 참여를 유도했습니다.
이 피싱 캠페인은 사기의 악성 URL을 숨기기 위해 URL 단축기, 가짜 LinkedIn 프로필, 사기 리디렉션을 호스팅하는 합법적인 웹 서비스 공급업체를 비롯해 탐지하기 어려운 다양한 기법이 포함된 인프라를 사용했다는 점에서 주목할 만합니다.
공격자는 또한 보안 제품의 탐지를 피하기 위해, HTML 앵커를 사용해 브라우저가 페이지나 웹 사이트의 특정 지점을 가리키도록 하는 기술인 URL 프래그먼트 식별자 리디렉션을 사용했습니다. 공격자는 원치 않는 방문자를 걸러내기 위해 무작위 URL을 생성하고, 피싱 웹 사이트 인프라가 다운되는 일 없이 피싱 웹 사이트의 도메인 이름과 IP 주소를 빠르고 쉽게 교체하기 위해CDN(Content Delivery Network)의 강력한 기능을 사용합니다.
소셜 엔지니어링 측면에서는 사기 웹 사이트에서 가짜 사용자가 경품 당첨 ‘후기’를 게시하는 것이 목격되었습니다. 그리고 이러한 가짜 사용자 중 여러 얼굴을 가진 ‘나탈리 해밀턴(Natalie Hamilton)’이라는 여성이 우리의 관심을 끌었습니다. 나탈리는 이 게시물에 소개된 리서치의 두 번째 부분을 착수하는 계기가 되었고, 이를 통해 수만 개의 웹 사이트와 수백만 명의 피해자가 관련된 사기를 주도하는 인프라와 잠재적 매출에 대해 더 잘 이해할 수 있게 되었습니다.
계속 당첨되는 나탈리 해밀턴
이전 블로그 게시물이후 몇 달이 지나 해당 사기 캠페인을 계속 추적하던 중 다시 만나게 된 나탈리 해밀턴은 전동 드릴을 받을 수 있는 기회를 제공하며 매우 적극적으로 활동하고 있었습니다. 사기 웹 사이트 사용자의 후기를 여러 번 새로 고치면, 동일한 텍스트가 서로 다른 프로필 이미지 및 전동 드릴 사진과 함께 표시됩니다(그림 1).
그림 1: 전동 드릴과 함께 다시 등장한 나탈리 해밀턴
나탈리가 다시 돌아와 사기가 활발히 벌어지고 있다는 사실은 No Good Natalie의 운영과 인프라에 대해 더 자세히 조사하는 동기가 됐습니다.
Whack-a-Mole - 인프라의 안정성과 지속성
우리는 사기의 리디렉션 구성요소를 조사해 탐지 방지 기능을 갖춘 리디렉션 체인이 포함된 사기 인프라와, 일부 인프라가 비활성화된 후에도 인프라의 안정성을 유지할 수 있는 기능을 확인할 수 있었습니다. 인프라의 안정성에 대한 증거는 인터넷에서 발견된 초기 리디렉션 링크에서 발견되었으며, 이 링크는 사기 랜딩 웹 사이트로 연결되는 것으로 알려져 있습니다. 처음 사용된 지 10개월이 지난 지금도 오리지널 랜딩 웹 사이트는 이미 다운되었지만 해당 링크는 여전히 활성화되어 있으며, 유명 게임인 Whack-a-Mole과 같은 새로운 피싱 웹 사이트로 연결되고 있습니다.
즉, 원래 피싱 랜딩 웹 사이트가 폐쇄되어 더 이상 사용이 불가능해도 리디렉션 인프라는 여전히 활성화되어 있어 새로운 사기 웹 사이트로의 리디렉션이 가능했습니다.
또한 라우팅 구성요소(그림 2)를 모니터링하면서 인프라의 라우팅이 사기의 지속성을 보여주는 증거임을 인식할 수 있었습니다. 라우팅 구성요소를 용이하게 하는 도메인은 적어도 2022년 3월부터 피해자를 악성 랜딩 웹 사이트로 리디렉션하는 데 사용되었으며, 최소 30가지의 악성 도메인으로 리디렉션된 증거가 발견되었습니다.
VirusTotal에서 30개의 랜딩 웹 사이트를 모두 살펴보면, 이 웹 사이트들은 평균 9.5개의 탐지 엔진을 통해 악성 웹 사이트로 탐지되었습니다. 다만 라우팅 도메인은 단일 탐지 엔진으로 탐지했을 때 탐지 신호가 약하다는 것을 알 수 있습니다. 라우팅 도메인은 2021년 5월에 등록되었으며 도메인이 사라진 시점은 2023년 4월입니다.
그림 2: 사기 인프라 기법
잠재적 피해자에 대한 인사이트 공개
해당 라우팅 도메인은 오랜 기간 동안 활성화되어 있었고 이를 통해 리디렉션된 잠재적 피해자가 많았기 때문에 웹 랭킹 플랫폼인 Similarweb에서 해당 웹 사이트의 순위를 매길 정도로 유명해졌습니다. 이 트래픽을 자세히 살펴보면 이러한 사기가 얼마나 성공적인지 알 수 있습니다.
공격자가 소유한 도메인이기 때문에 Similarweb에서 상당히 세부적인 정보를 보여줍니다. Akamai는 방문자 수(잠재적 피해자)와 방문자 인구 통계 등의 다양한 인사이트를 확보할 수 있었습니다. 이러한 특성을 분석하면 이러한 종류의 인프라가 공격자에게 제공 가능한 매출원을 추정하는 데 필요한 주요 데이터를 얻을 수 있습니다.
도메인이 처음 순위에 오른 이후 한 달에 5만~12만 건의 방문이 이뤄졌습니다(그림 3). 이 정보는 사기 인프라에서 이 라우팅 구성요소가 지속되고 있음을 보여주는 또 다른 증거입니다. 또한 다른 공격 캠페인으로 리디렉션되는 피해자 수는 사기의 규모를 보여주는 증거가 됩니다.
꾸준하고 지속적인 방문자 수(잠재적 피해자 수라고도 함)는 이러한 사기의 배경이 되는 경제를 이해하는 데 도움이 될 수 있습니다. 이 증거를 통해 공격자의 동기와 피싱 사기가 여전히 성행하고 있으며 앞으로도 계속될 것으로 보이는 이유를 설명할 수 있습니다.
높은 잠재 매출
Similarweb에 표시된 정보에 따르면, 라우팅 구성요소 도메인을 통해 약 100만 명의 방문자가 리디렉션되었다고 가정할 수 있습니다. 방문자 중 0.1%만 인증정보를 제공했다고 가정하더라도 인증정보 1,000개가 도난당했을 것입니다. 도난당한 인증정보는 암시장에서 개당 미화 5달러에서 150달러에 판매되므로 연간 잠재 매출은 미화 5천~15만 달러가 됩니다. 이러한 잠재적 매출 수준을 고려하면 공격자의 사기와 사기 행위의 동기를 쉽게 이해할 수 있습니다.
그림 3: 3개월 방문자 수에 대한 Similarweb의 증거
인구 통계 데이터
인구 통계 데이터에서 또 다른 흥미로운 인사이트를 확인할 수 있습니다(그림 4). Similarweb에 따르면 잠재적 피해자의 28%가 25세 ~ 34세였으며, 전체 잠재적 피해자 중 58%가 남성이었습니다. 이러한 종류의 정보는 피싱 인식 프로그램의 포커스 그룹을 설계할 때 유용합니다.
그림 4: 잠재적 사기 방문자의 나이와 성별에 대한 Similarweb의 증거
‘Aria - 변환 최적화 기법’
라우팅 도메인의 지속성을 보여주는 증거를 수집하면서, 이 도메인이 어떻게 활성 상태를 유지하고 악성 도메인으로 신고되는 것을 피할 수 있었는지도 상당히 궁금해졌습니다.
이에 대한 답을 찾기 위해 라우팅 도메인을 추가로 분석해 사기 인프라의 지속적인 특성을 더 깊이 이해해 보기로 했습니다. 백엔드 기능으로 리디렉션 및 필터링이 가능하긴 하지만, 프론트엔드에서는 Aria(웹 사이트에 따르면 ‘온라인 마케팅 및 전환 최적화 기법’을 제공하는 회사)라는 마케팅 회사로 보이는 도메인을 확인할 수 있었습니다(그림 5).
그림 5: "온라인 마케팅 및 전환 최적화 기법"을 위한 Aria의 템플릿 웹사이트
‘안녕하세요. 저는 [이름 입력]입니다’
해당 웹 사이트의 콘텐츠를 조사했더니 실제로는 웹 사이트나 회사가 아니고, 인터넷에서 재사용되고 있는 템플릿 웹 사이트인 것으로 밝혀졌습니다. 이에 대한 증거는 웹 사이트의 직원 프로필에서 확인할 수 있는데, 동일한 사진이 인터넷의 여러 웹사이트에서 각각 다른 이름과 언어, 역할로 소개되고 있습니다(그림 6).
그림 6: 인터넷의 Aria 직원 프로필
일정 시점에 활성화된 10,954개의 도메인이 동일한 프런트엔드 Aria 기법을 사용하고 있다는 점도 발견했습니다. 백엔드 리디렉션 및 라우팅 기능으로 해당 도메인을 확인한 결과 1,973개의 웹 사이트가 20개 이상의 호스팅 공급업체에서 여전히 호스팅되고 있었는데,이는 해당 웹 사이트가 훨씬 더 큰 사기 인프라의 일부라는 것을 의미합니다.
이러한 라우팅 및 리디렉션 도메인에서 몇 가지 감염 지표를 검색하여 도메인 중 일부가 다양한 사기 및 피싱 캠페인을 리디렉션하는 데 사용되었음을 나타내는 증거를 발견했지만, 라우팅 도메인은 VirusTotal 같은 플랫폼에서 악성 플래그가 지정되지 않았습니다.
리디렉션 도메인 중 일부는 상당히 많은 트래픽을 기록했고, 결과적으로 Similarweb에서 순위가 매겨져 공격자의 규모와 잠재적인 금전적 이득이 드러났습니다. 앞서 설명한 대로 단일 라우팅 도메인의 매출을 연간 미화 5천~15만 달러로 추정할 때 활성 라우팅 도메인이 1,973개라면 잠재적 매출 역시 크게 증가합니다.
'Notes - 열정적인 웹 기업’
발견된 내용들은 놀랍고 충격적이었지만, 여기서 멈추지 않았습니다. 추가 리서치를 통해 동일한 리디렉션 기능으로 운영되는 또 다른 유사 사기 네트워크의 존재에 대한 증거를 찾을 수 있었습니다.
이 사례에 사용된 프런트엔드 템플릿은 ‘열정적인 웹 기업’을 표방하는 Notes라는 회사입니다(그림 7). 이 인프라에서는 한 시점에 동일한 템플릿으로 활성화된 28,776개의 도메인을 확인할 수 있었습니다. 백엔드 리디렉션 및 라우팅 기능이 있는 도메인을 확인한 결과, 9,839개의 웹 사이트가 여전히 활성 상태인 것으로 확인되었습니다.
그림 7: ‘열정적인 웹 기업’을 표방하는 Notes의 템플릿 웹 사이트
Notes 사기 인프라는 Aria 인프라가 비활성화될 경우 백업으로 활성화되도록 제작된 것으로 보이며, 시간이 지날수록 더 많은 활동이 Notes를 통해 이루어지고 있는 것으로 확인되었습니다.
템플릿 추가 발견
리서치를 계속하면서 백엔드에 리디렉션 기능이 있는 템플릿 웹 사이트 5개를 추가로 발견했는데,이 웹 사이트들은 Aria 및 Notes 템플릿과 동일한 리디렉션 기능을 갖추고 있었습니다(그림 8). 새로운 템플릿과 관련된 도메인의 수는 그다지 많지 않았지만, 사기 인프라와 관련하여 고도의 대규모 운영이 이루어지고 있음을 알 수 있습니다. 5개의 추가 템플릿은 이전에 보았던 템플릿과 연관되어 있으므로 동일한 인프라의 일부로 간주합니다.
그림 8: 5개의 추가 템플릿 웹 사이트
요약
나탈리 해밀턴은 다양한 형태와 모습으로 계속 등장하고 있습니다. Akamai는 이 사기가 계속되는 동안 여러 캠페인에서 수없이 당첨된 나탈리를 추적할 수 있었습니다(그림 9). 이 사기는 오래 지속되고 악용된 브랜드가 많다는 점에서 그 깊이를 알 수 있습니다. 또한 브랜드 평판을 보호하고자 노력하는 모든 기업에도 시사하는 바가 큽니다.
그림 9: 나탈리 해밀턴: 연속 당첨자
이 사기는 공격자가 심층적인 기능과 기술, 규모로 성공적인 결과를 거두었음을 보여줍니다. 사이트의 트래픽 규모는 이러한 캠페인이 얼마나 효과적인지 증명합니다. 이전 블로그 게시물에서 자세히 설명했듯이, 공격자들은 보안 조치로도 탐지하기 어려운 기법을 동원하고 있기 때문에 보안팀 직원이 사기를 탐지하기가 쉽지 않습니다.
인프라는 원치 않는 접속을 필터링하고 랜딩 웹사이트를 순환할 수도 있어 탐지와 삭제가 어렵습니다. 사기에 이용된 인프라의 복잡성(배포, 규모, 배포)을 이해한 후에는 사기가 어떻게 지속되어 왔는지 명확히 알 수 있었습니다. 이번 리서치에서는 특히 공격자의 생태계, 목표, 잠재 이익을 중점적으로 살펴봤습니다.
효과를 발휘할 수 있는 지연 탐지
이번 인프라 분석을 통해 우리는 공격자와 방어 제품 및 서비스 간의 격차를 파악할 수 있었습니다. 공격자들은 방어군의 작동 방식을 깊이 이해하고 있으므로 피싱 사기에 탐지와 방어를 회피하는 방법을 동원하고 있습니다. 대부분의 경우 방어 제품 및 서비스는 탐지와 차단에 중점을 두는 반면, 공격자는 사기 탐지가 불가피하다는 것을 인정합니다. 따라서 탐지하기 어려운 다양한 기술을 사용해 탐지를 지연시킵니다. 탐지 레이더에 걸리지 않는 기간이 길수록 더 많은 돈을 벌 수 있습니다.
이러한 사기는 사이버 공간의 회색 영역에서 활발하게 이루어집니다. 멀웨어, 공급망, 랜섬웨어 공격과 같은 위협은 많은 이들의 주목을 받지만, 사기 및 피싱 공격은 리소스 부족과 우선 순위의 문제로 간과되고 무시되는 경우가 많습니다. 그러나 그 위협 환경은 충분히 압도적이며, 인프라에 나타난 고도의 정교함이 이를 정확히 보여줍니다.
정상과 사기 사이의 경계
이 리서치에서 소개된 라우팅 및 리디렉션 인프라는 정상으로 간주되는 것과 사기로 간주되는 것 사이의 경계가 모호해지고 있다는 증거이기도 합니다. 인프라는 악성 콘텐츠를 호스팅하는 것이 아니라 콘텐츠의 전송을 가능하게 할 뿐이므로, 인프라를 고발해 삭제하는 것이 훨씬 더 어렵습니다.
공격자들은 점점 더 수준을 높이고 있습니다. 따라서 우리는 악성 콘텐츠를 탐지하고 삭제하는 방식을 개선하고, 사기에 맞서 싸우려는 브랜드의 동기를 높이고, 랜딩 웹사이트와 악성 인프라를 더 빠르게 탐지하고, 호스팅 서비스와 협력해 삭제 시간을 단축하는 등 다양한 노력을 기울여야 합니다. 이제 방어도 한 단계 더 발전해야 합니다.
경계 유지
Akamai Security Intelligence Group은 이 사기뿐만 아니라 이와 유사한 사기를 지속적으로 모니터링하고 관련 게시물을 제공할 예정입니다. 이러한 사기는 실질적인 피해를 초래할 수 있으므로 보안 전문가와 소비자 모두 주의를 기울여야 합니다. 최신 보안 리서치를 확인하려면 Twitter에서 Akamai를 팔로우하세요!
