피싱이란?

피싱은 일반적으로 해커가 이메일을 통해 사용자 또는 기업 정보를 훔치는데 사용하는 사회공학기술입니다. 피싱 공격은 사용자가 이러한 상황을 인지하지 못할 때 가장 효과적입니다.

피싱

피싱은 1990년대 중반부터 사용되어 온 공격 방법입니다. 한 그룹의 젊은이들이 AOL 관리자를 가장하기 위해 AOL의 대화방 기능을 설계하며 시작되었습니다. 그들은 무료 AOL 액세스 권한을 갖기 위해 신용카드 번호가 필요했습니다.

AOL의 '신규 회원 대화방'은 사용자가 사이트 액세스 지원을 받을 수 있도록 설계되었습니다. 해커인 Da Chronic과 그의 친구들은 "빌링 어카운팅"과 같은 AOL 관리자 화면을 만들고, 사용자에게 계정에 문제가 있다고 알렸습니다. 

사용자는 문제를 해결하기 위해 카드 번호를 제공하라는 요청을 받았습니다. 그런 다음 범죄자들은 카드 번호를 사용하여 자신의 계정에 대한 비용을 지불했습니다. "피싱"이라는 용어는 이 공격 및 이와 유사한 공격을 설명하기 위해 만들어졌지만 이제는 주로 이메일 사기와 관련이 있게 되었습니다. 피싱 사기는 오늘날까지도 계속되고 있습니다. Verizon 2021 데이터 침해 조사 보고서(DBIR), 에 따르면 침해의 36%가 피싱과 관련되어 있습니다.

피싱은 주로 사회 공학을 이용하기 때문에 공격자가 인간의 본성을 어떻게이용하는지 이해하는 것이 중요합니다. 첫째, 사회 공학은 해커가 사용자가 일반적으로 절대하지 않는 일을 하도록 설득하는데 이용됩니다.

사회공학은 마치 양손이 꽉 찬 누군가가 문을 열어달라고 도움을 요청할때 쉽게 응하는것처럼 간단한 일일 수 있습니다. 마찬가지로 사회 공학 공격은 누군가가 주차장에 "가족 사진"이라고 표시된 USB 썸 드라이브를 떨어뜨리는 것으로 시작될 수 있습니다. USB 썸 드라이브에는 컴퓨터에 설치되는 악성 프로그램이 포함되어 이로 인해 보안 문제가 발생할 수 있습니다. 이것을 미끼라고합니다.

피싱은 주로 일반적인 이메일 공격과 관련하여 사용됩니다. 이것은 공격자가 PayPal 또는 Bank of America와 같은 일반적인 서비스를 사용하여 가능한 한 많은 주소로 이메일을 보낼 때입니다.

이메일은 계정이 도용되었음을 알리고 수신자에게 링크를 클릭하여 모든 것이 정상인지 확인하라는 메시지를 표시합니다. 링크는 일반적으로 다음 두 가지 작업 중 하나 또는 둘 다 수행합니다.

  1. "www.PayPals.com" 대 "www.PayPal.com"과 같이 실제 사이트와 유사한 악성 웹사이트로 이동할 수 있습니다. 첫번째 URL의 's'를 포함합니다. 악성 웹사이트에 접속하면 해커가 로그인을 시도할 때 사용자 ID와 비밀번호를 캡처할 수 있습니다.

    해커는 이제 은행 계좌에 액세스 할 수 있고 어디서든 돈을 이체 할 수 있습니다. 두번째 가능한 시나리오도 있습니다. 해커는 이제 Amazon 또는 eBay를 포함한 다른 계정에 사용할 수 있는 암호를 가지고 있을 수 있습니다..
  2. 멀웨어라고 불리우는 악성 소프트웨어로 컴퓨터를 감염시킬 수 있습니다. 소프트웨어를 설치하면 향후 공격에 사용할 수 있습니다. 멀웨어는 로그인 또는 신용카드 번호를 캡처하는 키 입력 로거이거나 드라이브 콘텐츠를 암호화하고 일반적으로 비트코인 형태로 몸값을 요구하는 랜섬웨어일 수 있습니다.

    이 시점에서 해커는 감염된 컴퓨터를 사용하여 비트코인을 채굴할 수 있습니다. 멀웨어는 컴퓨터에 있지 않을 때 수행할 수도 있고 CPU 기능의 일부를 잠글 수 있습니다. 해커는 비트코인을 성공적으로 채굴할 수 있으며 이때 컴퓨터는 더 느리게 작동하게됩니다.

피싱은 다양한 유형의 데이터를 다루는 공격을 포함하도록 수년에 걸쳐 발전해 왔습니다. 공격은 돈 외에도 민감한 데이터나 사진을 대상으로 할 수도 있습니다.

피싱 공격

피싱 공격은 해커가 사용자를 이용하기 위해 취하는 일련의 작업입니다. 이메일 피싱 사기는 이메일의 문법 또는 철자 오류로 인해 종종 쉽게 발견할 수 있습니다만 공격자들은 기술적으로 정교해져 두려움, 분노, 호기심을 포함한 인간의 감정을 이용하여 피해자를 끌어들이도록 발전하였습니다.

2011년 RSA에 대한 공격은 조직내 4 명만을 대상으로 했습니다. 이메일 자체가 정교하지는 않았지만 특정 사람을 대상으로 했기 때문에 공격은 성공했습니다. "2011 모집 계획.xls"라는 제목의 이메일은   해당 개인의 관심을 끌기 위해 충분했습니다.

자세히 보기

피싱 유형

피싱 공격에는 다양한 유형이 있습니다. 여기에는 고전적인 이메일 공격, 소셜 미디어 공격, 스 미싱 및 비싱과 같은 이상한 이름의 공격이 포함됩니다.

  • 피싱 –  일반적으로 이메일로 수행
  • 스피어 피싱 – 세분화된 이메일
  • Whaling – 일반적으로 경영진을 대상으로하는 매우 표적화된 이메일
  • 내부 피싱 – 조직 내에서 발생하는 피싱 공격
  • 비싱 – 전화 통화로 공격
  • 스미싱 – 문자 메시지로 수행
  • 소셜 미디어 피싱 – Facebook 또는 기타 소셜 미디어 게시물을 이용하여 공격
  • 파밍 – DNS 캐시 손상
     

자세히 보기

내부 피싱

내부 피싱 공격이 점점 더 우려되고 있습니다. 신뢰할 수 있는 내부 사용자가 같은 조직의 다른 사용자에게 피싱 이메일을 보낼 때 발생합니다. 원래 사용자를 신뢰할 수 있으므로 수신자는 링크를 클릭하거나 첨부 파일을 열거나 요청된 정보로 응답할 가능성이 매우 높습니다. 

내부 피싱 이메일을 보내기 위해 공격자는 손상된 자격 증명으로 사용자의 이메일 계정을 제어합니다. 공격자는 기기 분실이나 도난으로 인해 물리적으로 또는 기기의 멀웨어를 통해 사용자의 기기를 제어 할 수도 있습니다. 내부 피싱 이메일은 랜섬웨어로 갈취하거나 금융 또는 지적 자산의 도난과 같은 최종 목표를 가진 다단계 공격의 일부입니다.

스미싱

스미싱은 모바일 장치를 악용하는 특정 공격입니다. 최근 개인용 컴퓨터보다 더 많은 모바일 기기가 판매됨에 따라 해커가 개인 데이터를 훔치기 위해 이 플랫폼에 몰려들었습니다. 스미싱 공격은 공격자가 문제를 해결하기 위해 전화를 걸 수 있는 반송 번호와 함께 계정의 문제를 알려주는 메시지를 사용자의 전화 번호로 보낼 때 종종 발생합니다.   회신 전화를 하면 해커가 개인적으로 또는 협박 행위자가 고용한 "직원"과 연락을 취하여 사기를 계속할 수 있습니다.

전화를 돌려주지 않으면 해커가 전화를 걸어 "계정이 해킹되었으며 문제를 해결하려면 계정 세부 정보를 공유해야 합니다."라고 하는 패턴을 사용하기도 합니다. 또한 해커들은 많은 발신 전화 시도를 통해 다수의 피해자를 만들어 내기도 합니다. 이것을 비싱이라고 합니다.

스미싱 자세히 보기

소셜 미디어 피싱

소셜 미디어는 해커들이 쉽게 소셜 미디어를 사용하여 피싱 사기를 실행할 수 있을 만큼 온라인 세계의 중요한 부분이 되었습니다. 일반적인 페이스북 피싱 방식 중 하나는 "핫딜" 또는 "무료 제공"을 "친구들" 계정에 클릭하라는 내용과 함께 게시합니다. 이런 사기를 치려면 해커가 계정에 액세스할 수 있어야 합니다.

회사의 온라인 서버에 비밀번호가 유출되는 일이 발생한 경우 많은 계정에서 쉽게 해킹을 할 수 있습니다. 해커들은 페이스북이나 LinkedIn과 같은 다른 플랫폼에서 동일한 이메일과 비밀번호를 사용하여 계정 접속을 시도합니다.

소셜 미디어 피싱자세히 보기

파밍

사용자가 피싱 공격에 익숙해짐에 따라 해커는 새로운 공격 방법을 만들었습니다. 파밍은 사용자의 컴퓨터에 DNS 캐시를 손상시킵니다. 이것은 드라이브 바이 다운로드를 사용하여 수행됩니다. 

누군가가 웹사이트를 탐색하고 다음 웹사이트를 클릭할 때 공격자는 웹사이트에서 흔히 볼 수 있는 보안의 헛점을 악용합니다. 웹사이트의 HTML 텍스트를 변경하는 것은 매우 쉽기 때문에 누군가가 웹 사이트에 도달하거나 클릭 연결할때 정보 다운로드를 포함합니다.

피해자가 이메일을 클릭하지 않으면 공격자는 은행에 연결할 때까지 기다리며 변경된 DNS 캐시 정보는 사용자를 사용자 가짜 은행 웹사이트로 안내합니다. 사용자 ID와 비밀번호를 입력하여 공격자에게 은행 계좌에 액세스하고 자금을 훔칠 수 있는 자격 증명을 제공합니다.

피싱은 어떻게 방지합니까?

우리 자신을 보호하기 위해 개인으로서 할 수 있는 몇 가지 매우 구체적인 일이 있습니다.

  • 가능한 모든 계정에서 2단계 인증 (2FA) 활성화
  • 멀웨어 방지 프로그램 사용
  • 방화벽 사용
  • 팝업과 팝 언더를 조심합니다.
  • 알려지거나 알려지지 않은 출처의 이메일 첨부파일을 의심하십시오.
  • 클릭하여 특정 목적지로 이동하거나 개인정보에 대한 쿼리를 발생시키는 알려지거나 알려지지 않은 출처의 문자메시지 또는 IM을 의심합니다.
  • 개인 정보를 제공하지 마십시오.

직원은 위의 권고사항 외에도 다음과 같은 사항을 이행해야 합니다.

  • 게이트웨이에서 피싱 전자 메일 및 악성 웹트래픽 필터링
  • DMARC(도메인 기반 메시지 인증, 보고 및 적합성)를 사용하여 이메일 발신자 인증
  • 보낸 사람과 콘텐츠를 기반으로 피싱 이메일을 필터링하고 정적 및 동적 기술을 사용하여 악성 속성에 대한 URL 및 첨부 파일을 분석합니다.
  • AI를 사용하여 BEC 이메일 및 자격 증명 도용 공격을 탐지하는 고급 필터링 기술을 사용합니다.
  • API를 사용하여 클라우드 또는 사내 이메일 플랫폼에 연결되는 서비스 통합 보안 솔루션으로 내부 피싱 공격을 방지합니다. Microsoft Office 365, Google G Suite, Microsoft Exchange Server 및 IBM Domino 서버에서 사용할 수 있습니다.

피싱 토픽