영업팀에 문의
  /  피싱 (Phishing)  / QR 코드 피싱(퀴싱) 공격: 발견 및 예방 방법
QR 코드 피싱(퀴싱) 공격: 발견 및 예방 방법

QR 코드 피싱(퀴싱) 공격: 발견 및 예방 방법

Written by 암루타 와그
암루타 와그
피싱 (Phishing)

QR 코드를 이용한 피싱 사기의 위협 증가

최근 몇 년 동안 QR 코드가 정보를 빠르고 쉽게 공유하는 수단으로 인기를 얻으면서 새로운 유형의 사이버 공격이 등장했습니다. 기업들은 QR 코드 피싱이라고도 불리는 quishing(정보 유출)의 위험에 점점 더 많이 노출되고 있습니다. 피싱 이메일에는 해커가 개인 정보를 탈취하는 데 사용하는 QR 코드가 포함되어 있습니다.

QR 코드(Quick Response code)라고 하는 2차원 바코드는 URL, 연락처 정보 및 기타 데이터를 저장할 수 있습니다. 일반적으로 스마트폰으로 QR 코드를 스캔하면 웹사이트가 열리거나 연락처 추가, 전화 걸기 등의 작업이 수행됩니다. QR 코드는 디지털 콘텐츠를 빠르게 제공할 수 있어 마케팅, 금융, 소매, 심지어 정부 서비스까지 다양한 산업 분야에서 널리 사용되고 있습니다.

하지만 QR 코드의 사용 편의성은 이 기술을 악용하여 피싱 공격을 감행하는 사이버 범죄자들의 관심을 끌기도 했습니다. 이러한 공격은 QR 코드를 이용하여 사용자를 사기성 웹사이트로 유도하고, 민감한 정보를 훔치거나, 기기에 악성 소프트웨어를 설치합니다.

QR 코드 피싱 공격의 작동 방식

QR 코드 피싱 공격은 일반적으로 사용자가 QR 코드를 신뢰하고 변조하기 쉽다는 점을 이용하는 간단하면서도 효과적인 방법을 따릅니다.

악성 QR 코드 생성 및 배포

QR 코드 피싱 공격의 첫 단계는 악성 QR 코드를 생성하는 것입니다. 사이버 범죄자들은 ​​일반적으로 QR 코드 생성기를 사용하여 사용자를 원하는 웹사이트로 안내하는 개인화된 코드를 생성합니다. 이러한 사이트는 온라인 뱅킹 포털, 소셜 미디어 로그인 페이지, 전자상거래 웹사이트와 같은 실제 플랫폼과 유사할 수 있습니다. 사용자를 더욱 속이기 위해 공격자는 URL 단축 서비스를 사용하여 실제 목적지를 위장하여 사용자가 악성 URL을 즉시 발견하기 어렵게 만들 수 있습니다.

다음 단계는 악성 QR 코드를 유포하는 것입니다. 공격자는 피싱 이메일, 문자 메시지, 소셜 미디어 플랫폼, 물리적 위치(포스터, 전단지, 광고 등), 심지어 가짜 웹사이트 등 다양한 경로를 통해 코드를 유포할 수 있습니다.

악성 웹사이트 또는 작업

사용자가 QR 코드를 스캔하면 합법적인 플랫폼처럼 보이도록 설계된 사기성 웹사이트로 연결됩니다. 예를 들어, QR 코드 피싱 공격은 가짜 은행 로그인 페이지로 이어져 사용자에게 사용자 이름, 비밀번호 및 기타 개인 정보를 입력하도록 요청할 수 있습니다. 또한, 공격자는 은행이나 이메일 제공업체에서 발송하는 위조 보안 알림과 같이 사용자에게 불안감이나 긴급성을 유발하는 사이트를 만들 수도 있습니다.

민감한 정보의 악용

공격자는 피해자가 피싱 페이지에 입력한 정보를 악용하여 다양한 악의적인 목적을 달성할 수 있습니다. 여기에는 금융 사기, 신원 도용, 불법 계정 접근, 또는 피해자 개인 정보의 다크웹 판매 등이 포함될 수 있습니다. 계정에 접근하거나 신원을 도용당하기 전까지는 피해자는 자신이 피싱 공격의 표적이 되었다는 사실조차 인지하지 못할 수 있습니다.
도난당한 정보는 피해자 네트워크의 다른 구성원을 표적으로 삼거나 피해자의 연락처에 피싱 메시지를 보내 공격을 확산하려는 시도에 사용될 수 있습니다.

중요한 발견들

  • PDF 및 XLSX 파일에 QR 코드가 포함된 피싱 이메일의 새로운 추세가 감지되었습니다.
  • 피싱 웹사이트로 연결되는 QR 코드는 이제 이메일 본문에 직접 포함되는 대신 PDF 및 XLSX 첨부 파일에 삽입되고 있습니다.
  • 이러한 공격은 악의적인 목적으로 로그인 자격 증명을 훔치는 것을 목표로 합니다.

가장 많이 사칭된 상위 2개 엔터티

  • 마이크로 소프트 : 가장 흔한 Microsoft 사칭 공격은 대상에게 다중 인증(MFA) 또는 계정이 곧 만료될 것이라고 알리는 것입니다. 수신자는 공격자의 지시에 따라 링크를 클릭하거나 파일을 다운로드하지 않으면 계정에 접근할 수 없게 된다는 알림을 받습니다.
  • Docusign: 수신자는 Docusign을 사칭하여 문서를 검토하고 서명해야 하는 경우가 많습니다. 사이버 범죄자는 해당 "문서"가 기업 관리자의 문서라고 가장하거나, 아무런 정보도 제공하지 않을 수 있습니다.

PDF 파일을 사용하여 감지된 Quishing 그래프

지난 25개월 동안 모든 피싱 공격의 약 XNUMX%에 QR 코드와 PDF 파일이 포함되는 것으로 나타났습니다.

 

그림 1. Quishing 그래프

캠페인 타겟

이 캠페인은 주로 기업을 대상으로 하지만, 때로는 개인적인 목적으로도 활용될 수 있습니다. 2024년 하반기 동안 피싱 공격 대상의 비율은 개인 자산과 조직 자산 사이에서 변동했습니다.

  • 조직 자산은 공격의 3분의 2를 차지합니다.
  • 1/XNUMX은 재무 데이터 및 기타 개인 자산을 목표로 합니다.

조사된 샘플 대부분에서 사기꾼들은 유명 기업을 사칭했습니다. 전체 공격의 절반 이상에서 SharePoint와 OneDrive를 포함한 Microsoft를 사칭했으며, DocuSign 등이 그 뒤를 이었습니다.

Coper Trojan, CherryLoader, Star Blizzard와 같은 캠페인은 사기 문서에 삽입된 QR 코드를 이용해 개인 및 금융 정보를 훔치고 맬웨어를 유포합니다.

Quishing 공격의 예

  1. DocuSign을 모방한 이 피싱 이메일은 수신자에게 첨부된 PDF 파일의 QR 코드를 스캔하여 문서를 검토하고 서명하도록 유도합니다. 스캔이 완료되면 가짜 Microsoft 페이지로 리디렉션됩니다.

 

그림 2 예제 1

 

 

그림 3 가짜 Microsoft 페이지

 

  1. 이 피싱 이메일 수신자는 파트너십 유통(Partnership Distribution)의 기밀 문서에 접근하려면 QR 코드를 스캔하라는 안내를 받았습니다. 코드를 스캔하면 가짜 페이지로 리디렉션되어 문서에 접근하기 전에 비밀번호를 입력해야 합니다.
그림 4 예제 2

 

 

 

그림 5 가짜 피싱 페이지

 

 

  1. DocuSign에서 보낸 것처럼 위장한 이 피싱 이메일은 수신자에게 첨부된 PDF 파일의 QR 코드를 스캔하여 "주식 계약 유통 계약" 문서를 검토하도록 지시합니다. 스캔 후 가짜 Microsoft 페이지로 리디렉션됩니다.
그림 6 예제 3

 

 

그림 7 가짜 Microsoft 페이지

QR 코드 피싱의 위험성

QR 코드 피싱 공격은 다음과 같은 여러 가지 이유로 매우 위험할 수 있습니다.

  • 가시성 부족: 이메일이나 메시지의 URL과 달리 QR 코드는 사람이 읽을 수 없으므로 사용자는 링크가 어디로 연결되는지 쉽게 확인할 수 없습니다. 이로 인해 공격자는 악성 웹사이트를 숨기고 사용자를 속여 접속하게 하는 것이 더 쉬워집니다.
  • QR 코드에 대한 신뢰도 증가: QR 코드는 정보에 접근하는 빠르고 효율적이며 안전한 방법으로 인식되는 경우가 많아, 사람들이 기존 링크보다 QR 코드를 더 신뢰하게 만듭니다. 이러한 잘못된 신뢰 때문에 QR 코드 피싱은 특히 효과적입니다.
  • 실행 속도: QR 코드 스캔은 일반적으로 빠르고 자동으로 진행되므로 사용자가 링크를 확인하거나 신중하게 결정을 내릴 시간이 거의 없습니다. 이처럼 빠른 프로세스는 사용자의 취약점을 신속하게 악용하려는 공격자들에게 매력적입니다.
  • 광범위한 배포: QR 코드는 소셜 미디어, 이메일, 오프라인 매장 등 다양한 플랫폼을 통해 쉽게 공유될 수 있어 많은 사람에게 도달할 수 있습니다. 공공장소에 설치된 악성 QR 코드는 지나가는 사람 누구나 스캔할 수 있어 공격 범위가 더욱 확대됩니다.

가짜 QR 코드 인식: 일반적인 표시

가짜 QR 코드를 찾아내는 데 도움이 되는 몇 가지 지표가 있습니다.

  • 예상치 못한 물건, 예를 들어 무작위로 배달된 패키지, 주차 미터기 또는 기타 흔한 장소에서 QR 코드가 발견되면 의심을 받을 수 있습니다.
  • QR 코드를 스캔하기 전에 항상 철자 오류, 언어 오류 또는 회사 이름이나 상징과의 불일치가 있는지 확인하세요.
  • 주소창에 자물쇠 아이콘이 있는데, 이는 안전한 연결을 의미하며, QR 코드와 연관된 URL을 빠르게 확인하면 가짜 웹사이트로 연결되는지 여부를 알아낼 수 있습니다.
  • 또한, 문자나 이메일로 원치 않는 QR 코드를 받는 경우 주의하십시오. 사기꾼은 피해자를 속여 개인 정보를 유출시키기 위해 피싱 메시지를 사용하여 가짜 QR 코드를 전송하는 경우가 많습니다.

MITER ATT&CK 전술 관찰

ATT&CK 전술 ATT&CK 기술
초기 액세스 피싱::스피어 피싱 첨부 파일 [T1566.001]
실행 사용자 실행::악성 링크 [T1204.001]
자격 증명 액세스 입력 캡처::웹 포털 캡처[T1056.003]
방어 회피 사칭[T1656]
명령 및 통제 데이터 인코딩: 표준 인코딩 [T1132.001]

Seqrite가 QR 코드 피싱 공격으로부터 보호하는 방법

시크라이트  QR 코드 피싱 공격으로부터 사용자를 보호하기 위해 다양한 보안 조치를 제공합니다. 이러한 조치가 어떻게 도움이 되는지 알아보세요.

  1. 사기 방지 피싱 보호: Seqrite의 소매 부문 Quick Heal의 사기 방지 앱 사용자가 링크된 웹사이트에 접속하기 전에 QR 코드를 스캔하여 QR 코드 피싱으로부터 보호합니다. QR 코드가 의심스럽거나 사기성 사이트로 연결되는 경우, 앱은 접근을 차단하거나 사용자에게 경고합니다.
  2. 실시간 위협 탐지: Seqrite 엔드포인트 보호 QR 코드에 포함된 악성 링크나 URL을 감지할 수 있습니다. QR 코드가 의심스럽거나 유해한 웹사이트로 연결되는 경우, Seqrite Endpoint Protection 실시간 스캐닝 기능이 웹사이트가 피해를 입기 전에 차단할 수 있습니다.
  3. 행동 감지: 시크라이트 EDR 행동 분석을 통해 기기에서 악성 활동을 감지합니다. QR 코드 리디렉션을 통해 설치될 수 있는 의심스러운 앱이나 맬웨어를 식별하여 조기 감지 및 예방을 보장합니다.
  4. 모바일 보안: Seqrite 엔터프라이즈 모빌리티 관리(EMM) 악성 QR 코드 및 피싱 시도로부터 Android 기기를 보호합니다. QR 코드를 스캔하여 위협 요소를 감지하고, 유해한 앱을 차단하며, 사용자를 피싱 및 맬웨어로부터 안전하게 보호하기 위한 브라우징 보호 기능을 제공합니다.

Seqrite와 Quick Heal은 이러한 보호 계층을 제공하여 사용자가 QR 코드 기반 피싱 위협으로부터 방어할 수 있도록 도와줍니다.

암루타 와그

암루타 와그 소개

암루타는 Quick Heal Technologies의 보안 연구원입니다. 그녀는 악성코드 분석, 리버스 엔지니어링, 그리고 최신 악성코드 탐색에 관심이 있습니다.

Amruta Wagh의 기사 »

관련 게시물