피싱 공격이란 무엇입니까?

인공 지능(AI)을 사용하여 비즈니스 이메일 손상(BEC) 및 자격 증명 도용 공격을 탐지하는 고급 필터링 기술을 사용합니다. 그들의 목표는 로그인, 신용 카드 번호 및 민감한 기업 정보를 훔치는 것입니다. 그들은 멀웨어로 컴퓨터를 감염시키려고 시도할 수 있습니다.

피싱이란?

피싱은 연결된 장치를 통해 절도를 시도하는 행위를 말합니다. 작업을 수동으로 수행하거나 프로세스를 자동화하는 도구를 통해 실행할 수 있습니다. 또한 수동으로 공격을 완료하는 해커에게 문을 여는 스크립트 도구로 시작되는 조합 일 수도 있습니다.

"피싱"이라는 용어의 처음 사용은 반항적인 십대들이 AOL에서 사용자로부터 신용카드 번호를 수동으로 훔치기 위해 노력했던 1994 년으로 거슬러 올라갑니다. 1995년에 그들은 AOHell이라는 프로그램을 만들었습니다. 

그 이후로 해커는 인터넷에 연결된 모든 사람의 세부 정보를 수집하는 새로운 방법을 계속 발전시켰습니다. 이러한 공격자들은 오늘날에도 여전히 사용되는 수많은 프로그램과 유형의 악성 소프트웨어를 만들었습니다. 이러한 도구 중 일부는 침투 테스트 또는 "허가를 받은 해킹"의 목적으로만 만들어졌습니다. 그러나 툴이 일단 생성되면 악의적으로 사용하는 방법이 만들어지게 됩니다.

그 이후 몇 년 동안 해커는 특히 피싱 응용 프로그램을 위한 악성 소프트웨어를 만들었습니다. 하나의 도구는 은행 정보를 훔치도록 설계된 PhishX입니다. 공격자는 PhishX를 사용하여 실제 은행처럼 보이는 가짜 은행 웹사이트를 만듭니다. 전화번호와 이메일 주소를 페이지에 설정합니다. 연락처를 클릭하면 해커와 직접 연락할 수 있습니다.

Phishing Frenzy는 원래 침투 테스트를 위해 좋은 의도로 만들어진 이메일 피싱 도구입니다. 운영자 친화적이기 때문에 많은 해커가 사용을 했습니다.

또 다른 피싱 도구는 Swetabhsuman8로 공격자가 Instagram 계정을 해킹하기 위한 가짜 로그인 페이지입니다. 로그인을 시도하면 해커가 사용자 ID와 비밀번호를 수집합니다. 

스푸핑 웹사이트, 이메일 피싱 도구, 악성 로그인 페이지를 통해 피해자의 세부 정보를 훔치는 것 외에도 해커는 이메일, 가짜 웹사이트 또는 문자메시지 중 하나를 통해 받은 전화번호에 연결된 콜센터를 만듭니다. 

최신 랜섬웨어 공격자들은 일반적으로 수익의 극대화를 위해 대기업을 목표로 합니다. 그들은 랜섬웨어 공격을 시작할 때까지 피해자 네트워크의 각 섹션을 정비하는데 상당한 시간을 투자합니다. 이러한 유형의 다단계 공격은 종종 단일 피싱 이메일로 시작됩니다.

피싱 공격 예

다양한 피싱 공격이 있지만 이메일 피싱은 가장 널리 퍼져 있고 인지도가 높습니다. 이 공격은 스피어 피싱 및 레이저 유도 공격을 통해 점점 더 정교해졌습니다. 피싱 공격은 또한 이메일 프로그램에서 문자 메시지 및 소셜 미디어를 포함한 통신 플랫폼으로 확산되었습니다.

피싱 공격에는 다음이 포함됩니다:

  • 이메일 피싱 – 해커가 사용자에게 우려, 걱정 또는 음모를 일으킬 의도로 링크가 포함된 이메일 메시지를 보냅니다. 이메일의 목적은 링크를 클릭하게 하는 것입니다.
  • 비싱(Vishing) – 위협 행위자가 유선, 모바일 또는 VoIP 전화로 전화를 걸어 사용자를 대화에 참여시킵니다.
  • 스미싱 – 범죄자가 링크를 클릭하거나 발신자에게 전화를 걸도록하는 문자 메시지를 보냅니다.
  • 파밍 – 사람들이 원치 않는 이메일 링크를 클릭하는 것의 위험성을 알게 되면서 악의적인 행위자들이 파밍을 만들었습니다. 파밍 공격에는 웹 주소를 복사하여 브라우저에 붙여넣고 웹 사이트에 직접 액세스하려는 악성 URL이 포함됩니다.. 파밍은 사용자를 올바른 대상으로 유도하는 DNS (도메인 이름 시스템) 정보의 로컬 캐시를 손상시킵니다. 악성 링크를 따라가면 스푸핑된 웹사이트로 이동합니다.
  • 스피어 피싱 – 해커가 조직이나 개인에게 맞춤형 표적 이메일을 보냅니다. 스피어 피싱 이메일은 일반적으로 경영진이나 재무 부서에서 일하는 사람들을 대상으로 합니다.
  • Whaling – Whaling은 스피어 피싱과 유사하지만 조직의 고위 경영진을 대상으로 하는 경우가 많습니다.

온라인 피싱 공격

해커들은 우리의 온라인 세상을 악용하는 것을 좋아합니다. 그들은 민감한 데이터를 수집하기 위해 가짜 웹사이트나 로그인 페이지를 만듭니다. 해커는 신용카드 번호, 은행 계좌 및 소셜 미디어 자격 증명에 대한 액세스 권한을 얻는 것 외에도 친구 또는 동료의 소셜 미디어 채널을 목표로 삼습니다. 귀하의 계정에 액세스하고 다이렉트 메시지를 통해 팔로워, 친구 또는 동료에게 피싱 공격을 보내기도 합니다. 소셜 미디어의 광범위한 인기는 지난 10년 동안 이 해킹 방법을 더 일반적으로 만들었습니다.

피싱 공격을 방지하는 방법

자신을 보호하기 위해 여러분이 할 수 있는 많은 것들이 있습니다. 첫 번째이자 가장 중요한 것은 경계하는 것이다.

  • 클릭하기 전에 이메일을 주의 깊게 확인하십시오. 클릭할 원본 이메일 주소 또는 링크 위에 마우스를 놓습니다. 피싱 이메일임을 나타내는 정보가 노출될 수 있습니다..
  • 민감한 데이터를 웹사이트에 입력하기 전에 페이지 상단의 URL을 다시 살펴보십시오. 이게 진짜 웹사이트인가요? 이메일 주소에 추가 문자가 삽입되어 있습니까? 0에 대한 O와 같은 숫자로 교체 된 문자가 있습니까? 차이를 구분하기 어려울 수 있습니다.
  • 친구의 게시물을 클릭하기 전에 생각하십시오. 어떤 것이 사실이라고 하기에는 너무 매력적이고 좋아 아마도 피싱일 가능성이 큽니다.
  • 친구가 곤경에 처해 있고 돈이 필요하다는 게시물에 응답하기 전에 한번 더 생각하십시오. 친구가 정말 이런식으로 당신에게 연락했을까요?
  • 팝업 또는 팝언더를 클릭하기 전 다시 한번 생각하십시오.
  • 이메일 첨부 파일을 열기 전에 생각하십시오. 친구들이 곤경에 처한 상황으로 인해금전적 요구를 한 적이 있었습니까? 직접 확인하고 물어보십시오.
  • 문자(SMS) 메시지에 응답하기 전에 생각하십시오. 회사 전화, 은행 등은 문자로 연락을 취할 가능성이 없습니다.
  • 신뢰할 수 있는 사람과 대화하고 있다고 확신이 서지 않는 한 개인데이터를 제공하지 마십시오.
     

두 번째로 해야 할 일은 계정을 보호하는 것입니다. 비밀번호는 20자 이상이어야 합니다. 암호에 4가지 옵션 (대문자, 소문자, 숫자, 기호)을 모두 포함 할 필요는 없습니다. 2~3개와 함께 새 암호를 만들때 2-3개를 변경하십시오. 많은 사람들이 암호를 기억하는 데 문제가 있습니다. 기억할 긴 암호를 만드십시오. 기억할 수 있는 하나의 긴 암호를 만든 다음 LastPass 또는 Password Safe와 같은 암호 관리자에서 나머지를 잠급니다.

그런 다음 가장 중요한 것은 모든 계정에서 2단계 인증 (2FA)을 활성화하는 것입니다. 사이트가 제공하는 유일한 선택이 휴대 전화를 사용하여 일회성 비밀번호로 문자 메시지를 받는것이라면 액세스 할때 비밀번호를 사용하십시오.

NIST (National Institute of Standards and Technology)는 SMS 일회용 암호에 대한 지원을 중단했습니다. 더 나은 솔루션은 도구를 사용하여 Google 인증자, Microsoft 인증자, LastPass 인증자 등과 같은 일회용 암호를 만드는 것입니다. 계정 설정에서 이러한 옵션을 찾으십시오.

소프트웨어 도구를 사용하여 놓친 부분을 조심하십시오. 방화벽, 안티 바이러스, 안티 멀웨어, 안티 피싱 도구를 사용하십시오. 브라우저를 현명하게 선택하십시오. 사용하는 브라우저가 피싱 시도와 같은 것을 찾아 보호합니까? 플러그 인을 추가할 수 있습니까? 대답이 ‘아니요’라면 다른 브라우저를 선택하십시오.

직원은 위의 권고사항 외에도 다음과 같은 사항을 이행해야 합니다.

  • 이메일 게이트웨이를 사용하여 스팸 이메일을 차단하고 의심스러운 링크나 첨부 파일이 포함된 이메일을 삭제하십시오.
  • 스팸 피싱 필터를 설치하여 알 수 없는 발신자의 이메일과 의심스러운 콘텐츠가 포함된 이메일을 삭제하십시오.
  • 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 이메일 인증 도구를 사용하여 범죄자가 이메일에서 "보낸 사람" 주소를 스푸핑하지 못하도록 합니다.
  • 인공 지능(AI) 필터링 방법을 사용하여 비즈니스이메일 손상(BEC) 이메일을 찾아냅니다. BEC 이메일은 조직의 경영진을 가장한 범죄자들로부터 보내지며, 일반적으로 직원들에게 기업 계정에서 해커의 스푸핑된 계정으로 자금을 송금할 것을 요구합니다.
  • 서비스 통합 보안 솔루션을 사용하여 조직 내부에서 발생하는 피싱 공격으로부터 보호합니다.
  • 정기적인 피싱 시뮬레이션 및 교육에 피싱 공격을 포함시켜 직원들이 피싱 공격의 위험성을 인식하도록 하십시오.

피싱 토픽