# Apple 알림을 통한 피싱: 해커들이 스팸 필터를 우회하는 방법
해커들은 Apple의 공식 알림에 피싱 메시지를 삽입하는 방법을 터득했다. 회사의 정당한 인프라를 이용한 것이다. 이러한 이메일은 모든 인증 검사—SPF, DKIM, DMARC—를 통과하며, 계정 데이터 변경에 대한 진짜 알림처럼 보인다. 이를 통해 공격자들은 스팸 필터를 우회하고 피해자의 신뢰를 얻는다.
공격 메커니즘
공격자는 Apple ID 계정을 만들고 이름과 성 필드를 수정해 피싱 텍스트를 삽입한다. 예를 들어, 한 사례에서 이름 필드에는 “PayPal을 통해 iPhone을 $899에 구매했습니다”라고 적혀 있었고, 성 필드에는 “지원 서비스” 전화번호가 들어 있었다. 해커는 프로필의 배송 세부 정보를 변경하면 계정 변경에 대한 Apple 알림이 자동으로 발송된다.
Apple은 사용자 지정 이름과 성 필드 값을 이메일 본문에 포함시키기 때문에 피싱 메시지가 공식 알림의 일부가 된다. 이메일은 [email protected]에서 IP 주소 17.111.110.47(Apple 소유)로 발송되며, 모든 표준 이메일 인증 검사를 통과한다:
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]
헤더 분석으로 이메일이 실제로 Apple 인프라에서 발송된 것을 확인할 수 있다:
- 발송 서버: rn2-txn-msbadger01107.apple.com
- 아웃바운드 릴레이: outbound.mr.icloud.com
- 발신자 IP 주소: 17.111.110.47 (Apple Inc. 소유)
메일링 리스트를 통한 배포
처음에는 공격자 계정과 연결된 iCloud 주소로 알림이 발송된다. 그러나 최종 피해자들은 외부 메일박스에서 동일한 이메일을 받는다. 이는 포워딩이나 메일링 리스트 메커니즘을 사용한 것으로 보인다. 아마도 해커가 대상 주소를 연락처 목록에 추가하고 프로필 변경 시 대량 알림 기능을 사용했을 것이다.
이 접근 방식은 공격을 특히 위험하게 만든다. 수신자는 모든 기술적 인증 검사를 통과한 이메일, 올바른 헤더와 발신자 도메인을 보게 된다. 경험이 풍부한 사용자조차 속지 않을 수 있다.
목표와 결과
피해자가 지정된 번호로 전화하면, 사기꾼들은 Apple 지원 직원인 척하며 계정이 해킹당했다고 주장한다. 그 후에는:
- 사용자가 원격 액세스 소프트웨어(e.g., AnyDesk 또는 TeamViewer)를 설치하도록 설득한다.
- “거래 취소”를 위해 신용카드나 은행 계좌 세부 정보를 요구한다.
- 2단계 인증 코드나 Apple ID 비밀번호를 얻으려 한다.
- 원격 액세스를 이용해 악성코드를 배포하거나 데이터를 훔친다.
유사한 전술은 이전에 iCloud 캘린더 초대 공격에서 사용되었는데, 피싱 메시지가 구매 알림으로 위장했다. 새로운 벡터—프로필 변경 알림—는 계정 보안과 관련되어 더 설득력 있다.
주요 포인트
- 인증이 안전을 보장하지 않는다: 공격자들이 정당한 서비스를 이용하면 SPF/DKIM/DMARC를 통과한 이메일조차 악성 콘텐츠를 포함할 수 있다.
- Apple의 직접적 잘못은 아니다: 취약점은 알림에 사용자 데이터를 검증 없이 포함하는 시스템에서 비롯된다.
- 알림의 연락처 세부 정보는 무시해야 한다: 공식 Apple 지원은 자동 이메일에 전화번호를 포함하지 않는다.
- 프로필 변경은 검증이 필요하다: 계정 데이터 변경은 2단계 인증으로 확인해야 하지만—이 단계 전에 알림은 위조될 수 있다.
- 계정의 이상한 이름을 모니터링하라: Apple ID에 이상한 이름이나 성이 보이면 계정 도난의 신호다.
개발자와 보안 관리자들은 신뢰할 수 있는 전달 채널(주요 플랫폼의 알림 포함)이 소셜 엔지니어링에 악용될 수 있음을 고려해야 한다. 기술적 인증만 기반으로 한 콘텐츠 필터링은 불충분하다—의미 분석과 행동 패턴 분석이 필요하다.
— Editorial Team
아직 댓글이 없습니다.