사기 경고: 공식 Microsoft 이메일이 피싱 링크에 사용되고 있습니다

Source: Mashable Tech

사기꾼이 주소를 악용하는 방법

사기꾼은 공식 Microsoft 이메일을 무기로 사용해 사기성 메시지를 보냅니다. 정식 알림 흐름에 자신들의 내용을 삽입함으로써 스팸 및 피싱 필터를 많이 우회합니다. 이메일은 익숙한 템플릿과 브랜딩을 사용한 전형적인 Microsoft 커뮤니케이션처럼 보이지만, 제목에는 종종 비트코인, 제3자 서비스가 언급되거나 Microsoft와 관련 없는 전화번호 및 웹사이트 링크가 포함됩니다.

공격 양상

1. 일회용 Microsoft 365 테넌트를 생성합니다.
2. 테넌트 브랜딩 설정(Microsoft Entra ID)을 수정해 “Name”(이름) 필드를 사기성 금융 경고 메시지로 바꿉니다.
3. 공격자의 Microsoft 계정에 대상 주소를 추가해 인증 코드 이메일을 대상에게 전송하도록 트리거합니다.
4. Microsoft는 신뢰할 수 있는 [email protected] 주소에서 이메일을 발송하고, 공격자가 제공한 “Name”을 제목에 삽입합니다.

이메일이 신뢰할 수 있는 Microsoft 도메인에서 발송되고 악성 링크나 첨부 파일이 없기 때문에 보안 조치를 쉽게 통과합니다.

악용에 대한 보고

• TechCrunch는 Microsoft가 아직 이 문제에 대해 공식 입장을 내놓지 않았다고 보도했습니다.

• Abnormal이 1월에 발표한 보고서에서는 Microsoft 알림 시스템의 악용 사례를 상세히 다루었습니다:

  “공격자는 일회용 Microsoft 365 테넌트를 생성하는 것으로 공격을 시작합니다… 핵심 익스플로잇은 Microsoft Entra ID 내의 테넌트 브랜딩 설정에 있습니다.”

  (Source: Abnormal blog post)

사용자가 해야 할 일

• 내용을 확인하십시오. 발신자 주소가 정확하더라도 Microsoft에서 온 것처럼 보이는 모든 이메일을 검증하세요.
• 전화번호, 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요. 이메일이 정품임을 확신할 때만 수행하십시오.
• 수상한 메시지는 조직의 보안 팀이나 Microsoft 피싱 신고 포털에 직접 보고하십시오.

특히 금융 정보를 요구하거나 익숙하지 않은 사이트로 안내하는 이메일을 주의 깊게 검토하고 경계하는 것이 이러한 피싱 공격에 대한 최선의 방어책입니다.