'Microsoft 요청 확인' 사기
Infosec 연구원은 사용자의 로그인 자격 증명을 수집하는 것을 목표로 하는 또 다른 유해한 피싱 캠페인을 발견했습니다. 이번에는 미끼 이메일이 Microsoft에서 보내는 알림으로 표시되어 수신자에게 계정 확인을 요청합니다. 가짜 이메일은 사용자가 주문한 것으로 추정되는 중요한 정보가 연결된 문서에 포함되어 있음을 암시합니다. 문서의 데이터를 검토하기 위해 사용자는 오해의 소지가 있는 이메일에 있는 '신원 확인' 버튼을 클릭해야 합니다.
일반적으로 이러한 피싱 전술의 경우와 마찬가지로 제공된 버튼은 사용자를 특별히 제작된 피싱 페이지로 안내합니다. 안전하지 않은 사이트의 시각적 모양은 공식 Microsoft 페이지의 모양과 유사하거나 피해자의 이메일 서비스 공급자와 일치하도록 조정될 수 있습니다. 두 경우 모두 사용자는 로그인하고 가짜 주문의 세부 정보를 보기 위해 계정 암호를 제공하라는 메시지를 받게 됩니다. 신뢰할 수 없는 사이트에 제공된 모든 정보는 사기꾼이 사용할 수 있게 됨으로써 손상됩니다.
피해자에 대한 결과는 중요할 수 있습니다. 사기꾼은 수집된 자격 증명을 사용하여 해당 이메일 계정을 장악하고 수많은 사기 행위에 악용할 수 있습니다. 그들은 피해자의 연락처에 돈을 요구하거나, 맬웨어를 퍼뜨리거나, 잘못된 정보를 유포하거나, 침해된 이메일에 연결된 추가 계정을 손상시켜 도달 범위를 더 확장하려고 시도할 수 있습니다. 사기꾼이 수집한 정보는 포장되어 해커 포럼에서 판매될 수도 있습니다.
