가짜 DocuSign 이메일 - 세 번의 리다이렉션을 통한 자격 증명 수집

DocuSign 알림으로 위장한 피싱 이메일이 수신자를 속여 악성 링크를 클릭하게 만들었습니다. 이 링크는 Google 지도로 시작하여 Amazon S3에 호스팅된 자격 증명 수집 페이지로 연결되는 리디렉션 체인을 사용했습니다. 이 이메일은 익숙한 브랜딩과 "검토 및 서명" 버튼을 사용하여 DocuSign을 설득력 있게 사칭했습니다. 리디렉션 체인은 표준 URL 스캐너를 우회하여 악성 대상이 안전한 것처럼 보이게 했습니다. 이메일의 SPF 및 DMARC를 포함한 인증 검사는 공격을 식별하지 못했습니다. 공격자들은 또한 이메일의 정당성을 높이고 신뢰를 구축하기 위해 현실적인 법률 회사 푸터를 포함했습니다. 궁극적인 목표는 설득력 있는 피싱 페이지를 통해 Microsoft 365 로그인 자격 증명을 훔치는 것이었습니다. IRONSCALES의 Adaptive AI는 발신자의 인프라와 주장된 DocuSign 신원 간의 행동 불일치를 기반으로 공격을 감지했습니다. AI는 90초 이내에 위협을 식별하여 클릭이 발생하기 전에 이메일을 격리했습니다. 이 사건은 첫 번째 홉 URL 평판에만 의존하는 기존 이메일 보안의 취약성을 강조합니다.