[데일리시큐]패스키 시대에도 진화하는 피싱 공격…AiTM·기기 코드로 MFA 우회

내용 요약

Microsoft 위협 인텔리전스 팀 보고서에 따르면, 기업들의 MFA(Multi-Factor Authentication) 및 패스워드리스 인증(Passkey) 도입 증가에 따라 공격자들이 이를 우회하는 새로운 피싱 기법을 개발 중입니다. 사회 공학적 기법을 활용하여 클라우드 계정의 세션 토큰 및 권한 탈취를 목표로 하고 있으며, 특히 AiTM(Adversary-in-the-Middle) 피싱이 급증하고 있습니다.

핵심 포인트

• MFA 및 패스워드리스 인증 우회하는 새로운 피싱 기법 증가
• AiTM(Adversary-in-the-Middle) 피싱 급증
• 사회 공학적 기법을 활용한 클라우드 계정 세션 토큰 및 권한 탈취 시도
• Evilginx와 같은 툴킷을 사용하여 사용자 브라우저와 로그인 페이지 사이에 프록시 서버 구축

기술 세부 내용

1️⃣ MFA(Multi-Factor Authentication) 우회 기법

• MFA는 단순히 아이디와 비밀번호 외 추가적인 인증 요소(OTP, 생체 인증 등)를 요구하여 보안을 강화하는 방법입니다. ️
• 그러나 공격자들은 AiTM 피싱과 같은 정교한 기술을 이용하여 이러한 추가 인증 요소까지 탈취하려고 시도합니다.
• 예를 들어, Evilginx와 같은 툴킷은 사용자 브라우저와 실제 로그인 페이지 사이에 프록시 서버를 구축하여 사용자의 인증 정보를 가로챕니다.

2️⃣ 패스워드리스 인증(Passkey) 우회 기법

• 패스워드리스 인증은 비밀번호 없이 생체 인증이나 기기 자체 인증을 통해 로그인하는 방식입니다.
• 하지만, 공격자들은 사회 공학적 기법을 이용하여 사용자를 속여 가짜 웹사이트에서 생체 인증을 하도록 유도하거나, 기기 자체의 취약점을 악용하여 인증을 우회할 수 있습니다.

3️⃣ AiTM(Adversary-in-the-Middle) 피싱

• AiTM 피싱은 공격자가 사용자와 서버 사이에 위치하여 통신을 가로채는 공격 기법입니다. interception proxy라고도 불립니다.
• Evilginx와 같은 툴킷은 AiTM 공격을 자동화하고 단순화하여 공격자가 쉽게 사용자의 인증 정보, 세션 쿠키 등을 탈취할 수 있도록 합니다. ️
• 이를 통해 MFA를 우회하고, 실시간으로 사용자의 세션을 가로채어 클라우드 계정에 접근할 수 있습니다. ☁️

4️⃣ 사회 공학(Social Engineering)

• 사회 공학은 사람의 심리를 이용하여 정보를 탈취하거나 특정 행동을 유도하는 기법입니다. ️
• 공격자들은 피싱 이메일, 스미싱 메시지 등을 통해 사용자를 속여 악성 링크를 클릭하게 하거나, 개인 정보를 입력하도록 유도합니다.
• MFA를 우회하기 위해서는 OTP를 알려달라고 요청하는 등의 사회 공학적 기법이 사용될 수 있습니다.

5️⃣ 세션 토큰(Session Token)

• 세션 토큰은 사용자가 로그인한 후 서버에서 발급하는 일종의 인증 티켓입니다.
• 사용자는 로그인 후 매번 아이디와 비밀번호를 입력하는 대신, 세션 토큰을 이용하여 서버에 접근할 수 있습니다.
• 공격자가 세션 토큰을 탈취하면, 사용자의 계정에 직접 접근하여 정보를 탈취하거나 악의적인 행위를 할 수 있습니다. 탈취 후 부정 이용의 위험이 큽니다.

6️⃣ Evilginx

• Evilginx2는 오픈소스 피싱 프레임워크입니다.
• AiTM 공격을 수행하여 사용자 인증정보 및 세션 쿠키 탈취에 악용됩니다.
• MFA를 우회할 수 있도록 설계되어 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167428