새로운 ATHR 플랫폼, 인공지능 기반 보이스 피싱을 자동화해 자격 증명 탈취
새로운 피싱 플랫폼, 인공지능과 인간 운영자를 결합하다
ATHR이라는 사이버범죄 플랫폼은 이메일 유인, 전화 기반 사회공학, 자격 증명 탈취를 하나의 패키지로 결합한 완전 자동화된 보이스 피싱(또는 vishing) 캠페인을 운영하는 턴키 방식으로 판매되고 있다. 클라우드 이메일 보안 업체 Abnormal의 연구원들에 따르면, 이 서비스는 운영자의 최소한의 노력으로 전화 지향 공격 전달(TOAD) 체인을 전부 수행하도록 설계되었다.
이 플랫폼은 지하 포럼에서 $4,000에 광고되며, 수익의 10%를 수수료로 받는다. Abnormal은 ATHR가 Google, Microsoft, Coinbase를 포함한 여러 주요 서비스의 로그인 정보를 훔치는 데 사용될 수 있다고 말하며, 분석 당시 총 8개 온라인 서비스를 지원했다고 전했다: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo 및 AOL.
이메일 유인이 피해자를 전화 기반 사기로 유도하다
ATHR는 첫 유인에서 최종 데이터 수집까지 공격 전 과정을 관리하도록 구축되었다. 과정은 일상적인 검토와 기술적 인증 검사 모두를 통과할 수 있도록 설계된 이메일로 시작된다. 메시지는 특정 브랜드와 대상에 맞게 맞춤화되며, 플랫폼에는 이메일이 신뢰할 수 있는 발신자로 보이게 하는 스푸핑 메커니즘이 포함되어 있다.
Abnormal은 유인이 보통 가짜 보안 경고나 계정 알림 형태로 구성되며, 이는 전화를 걸게 만들기에는 긴급하고 내용 기반 필터를 회피하기에는 충분히 일반적이라고 설명한다.
“유인은 일반적으로 가짜 보안 경고나 계정 알림입니다 — 전화 통화를 유발할 정도로 긴급하지만 내용 기반 필터를 작동시키지 않을 만큼 일반적입니다,”라고 Abnormal은 보고서에서 언급한다.
피해자가 이메일에 포함된 번호로 전화를 걸면, 그 통화는 Asterisk와 WebRTC를 통해 인공지능 음성 에이전트로 라우팅되고 상호작용을 안내하는 프롬프트에 의해 제어된다.
인공지능 에이전트가 사회공학을 수행하다
Doppler VPN으로 개인정보를 보호하세요
3일 무료 체험. 가입 불필요. 로그 없음.
음성 에이전트는 대상에게 스크립트화된 보안 시나리오를 안내하도록 설정되어 있으며, 어조, 페르소나 및 행동을 합성하여 합법적인 지원 직원처럼 보이게 만드는 사전 설정 프롬프트를 사용한다. 예를 들어 Google 테마의 공격에서는 시스템이 계정 복구 및 인증 절차를 흉내 내며, 피해자가 6자리 인증 코드를 제공하도록 설득하는 것을 목표로 한다.
그 코드는 계정을 장악하는 데 필요한 핵심 정보이다.
ATHR는 인공지능에만 의존하지 않는다. 플랫폼은 통화를 인간 운영자에게 연결하는 옵션도 제공한다. 그러나 Abnormal은 인공지능 옵션이 시스템을 돋보이게 만드는 요소라고 말한다. 이는 사회공학 단계가 각 대상에게 라이브 사기꾼이 통화에 머물 필요 없이 자동화될 수 있게 하기 때문이다.
그 결과 이 플랫폼은 거의 수동 개입 없이 전체 공격 체인을 실행할 수 있다. ATHR의 대시보드는 운영자에게 이메일 배포, 통화 처리 및 피싱 운영을 제어할 수 있게 해주며, 동시에 실시간 대상별 데이터와 탈취된 정보를 담은 로그를 제공한다.
TOAD 공격의 보다 패키지화된 버전
Abnormal은 ATHR를 완전한 피싱 및 보이스 피싱 공격 생성기로 묘사한다. 이 같은 프레임은 중요하다. 왜냐하면 TOAD 공격은 전통적으로 공격자가 여러 요소를 스스로 조합해야 했기 때문이다: 이메일 인프라, 통화 시스템, 스크립트, 자격 증명 수집 도구 및 실시간으로 피해자를 처리할 수 있는 팀 등.
ATHR는 이러한 단계를 단일 인터페이스로 압축한다. 연구원들은 이것이 잠재적 공격자들의 기술적 장벽을 낮추고, 경험이 부족한 범죄자들도 자체 인프라를 구축하지 않고 자동화된 보이스 피싱 캠페인을 시작할 수 있게 만든다고 경고한다.
“분절되고 수작업이 많은 운영에서 제품화되고 대체로 자동화된 것으로의 전환은 TOAD 공격이 더 이상 대규모 팀이나 전문 인프라를 필요로 하지 않게 만든다,”고 Abnormal은 경고한다.
이런 제품화가 ATHR를 특히 우려스럽게 만든다. 인간 운영자와 인공지능 음성 에이전트를 결합함으로써, 플랫폼은 공격자에게 유연성을 제공하는 동시에 이러한 사기의 규모를 제한하던 많은 노동을 제거한다. 이메일 유인, 전화 통화, 스크립트화된 복구 흐름, 최종 자격 증명 수확이 모두 동일한 시스템 내에서 관리되어 첫 접촉부터 계정 침해까지의 경로를 간소화한다.
인공지능 도구의 배포가 쉬워짐에 따라, ATHR는 이러한 기능들이 범죄 서비스로 얼마나 빠르게 통합될 수 있는지를 보여준다. 이 경우 기술은 단순히 피싱을 보조하는 수준을 넘어 전체 사회공학 작전을 자동화하는 데 기여하고 있다.
출처: