피싱은 일반적으로 해커가 이메일을 통해 사용자 또는 기업 정보를 훔치는데 사용하는 소셜 엔지니어링 기술입니다. 피싱 공격은 사용자가 이러한 상황을 인지하지 못할 때 가장 효과적입니다.
피싱은 1990년대 중반부터 사용되어 온 공격 방법입니다. 한 그룹의 젊은이들이 AOL 관리자를 가장하기 위해 AOL의 대화방 기능을 설계하며 시작되었습니다. 그들은 무료 AOL 액세스 권한을 갖기 위해 신용카드 번호가 필요했습니다.
AOL의 ‘신규 회원 대화방’은 사용자가 사이트 액세스 지원을 받을 수 있도록 설계되었습니다. 해커들은 ‘BillingAccounting’과 같은 유효한 AOL 관리자 화면을 만들고, 사용자에게 계정에 문제가 있다고 알렸습니다.
사용자는 문제를 해결하기 위해 카드 번호를 제공하라는 요청을 받았습니다. 그런 다음 범죄자들은 카드 번호를 사용하여 자신의 계정에 대한 비용을 지불했습니다. ‘피싱’이라는 용어는 이러한 공격 및 이와 유사한 공격을 설명하기 위해 만들어졌지만 이제는 주로 이메일 사기와 관련되어 있습니다. 피싱 사기는 오늘날까지도 계속되고 있습니다. Verizon 2021 데이터 침해 조사 보고서(DBIR)에 따르면 침해의 36%가 피싱과 관련되어 있습니다.
피싱은 주로 소셜 엔지니어링을 이용하기 때문에 공격자가 인간의 본성을 어떻게 악용하는지 이해하는 것이 중요합니다. 첫째, 소셜 엔지니어링은 해커가 일반적으로 사용자가 하지 않는 일을 하도록 설득하는 데 이용됩니다.
소셜 엔지니어링은 마치 양손에 짐을 든 누군가가 문을 열어 달라고 도움을 요청할 때 쉽게 응하는 것처럼 간단한 일일 수 있습니다. 마찬가지로 소셜 엔지니어링 공격은 누군가가 주차장에 ‘가족 사진’이라고 표시된 USB 썸 드라이브를 떨어뜨리는 것으로 시작될 수 있습니다. USB 썸 드라이브에는 컴퓨터에 설치되는 악성 프로그램이 포함되어 이로 인해 보안 문제가 발생할 수 있습니다. 이것을 미끼라고 합니다.
피싱은 주로 일반적인 이메일 공격과 관련하여 사용됩니다. 공격자는 PayPal 또는 Bank of America와 같은 일반적인 서비스를 사용하여 가능한 한 많은 주소로 이메일을 보냅니다.
이메일은 계정이 도용되었다고 하면서 계정이 올바른지 확인하기 위한 링크를 클릭하라는 메시지를 표시합니다. 링크는 일반적으로 다음 두 가지 작업 중 하나 또는 둘 다 수행합니다.
피싱은 다양한 유형의 데이터를 다루는 공격을 포함하도록 수년에 걸쳐 발전해 왔습니다. 공격은 돈 외에도 민감한 데이터나 사진을 대상으로 할 수도 있습니다.
피싱 공격은 해커가 사용자를 이용하기 위해 취하는 일련의 작업입니다. 이메일 피싱 사기는 이메일의 문법 또는 철자 오류로 인해 종종 쉽게 발견할 수 있지만 공격자들은 기술적으로 정교해져 두려움, 분노, 호기심을 포함한 인간의 감정을 이용하여 피해자를 끌어들이도록 발전하였습니다.
2011년 RSA에 대한 공격은 조직 내 단 4명의 직원을 대상으로 이루어졌습니다. 이메일 자체가 정교하지는 않았지만 특정 사람을 대상으로 했기 때문에 공격은 성공했습니다. ‘2011 Recruitment plan.xls’라는 제목의 이메일은 관심 있는 개인의 호기심을 자극하도록 고안되었고 조직의 다른 사람들의 관심을 끌지는 않을 것입니다.
피싱 공격에는 다양한 유형이 있습니다. 여기에는 고전적인 이메일 공격, 소셜 미디어 공격, 스미싱 및 비싱과 같은 복합적인 이름의 공격이 포함됩니다.
내부 피싱 공격이 점점 더 우려되고 있습니다. 이는 신뢰할 수 있는 내부 사용자가 같은 조직의 다른 사용자에게 피싱 이메일을 보낼 때 발생합니다. 원래 사용자를 신뢰할 수 있으므로 수신자는 링크를 클릭하거나 첨부 파일을 열거나 요청된 정보로 응답할 가능성이 매우 높습니다.
내부 피싱 이메일을 보내기 위해 공격자는 손상된 자격 증명으로 사용자의 이메일 계정을 제어합니다. 공격자는 기기 분실이나 도난으로 인해 물리적으로 또는 기기의 멀웨어를 통해 사용자의 기기를 제어할 수도 있습니다. 내부 피싱 이메일은 랜섬웨어로 갈취하거나 금융 또는 지적 자산의 도난과 같은 최종 목표를 가진 다단계 공격의 일부입니다.
스미싱은 모바일 장치를 악용하는 공격입니다. 최근 개인용 컴퓨터보다 더 많은 모바일 기기가 판매됨에 따라 해커가 개인 데이터를 훔치기 위해 이 플랫폼에 몰려들었습니다. 스미싱 공격은 공격자가 문제를 해결하기 위해 전화를 걸 수 있는 반송 번호와 함께 계정의 문제를 알려주는 메시지를 사용자의 전화 번호로 보낼 때 종종 발생합니다. 회신 전화를 하면 해커가 개인적으로 또는 협박 행위자가 고용한 ‘직원’과 연락을 취하여 사기를 계속할 수 있습니다.
전화를 다시 걸지 않으면 해커가 전화를 걸어 ‘계정이 해킹되었으며 문제를 해결하려면 계정 세부 정보를 공유해야 합니다’라고 하는 패턴을 사용하기도 합니다. 또한 해커들은 많은 발신 전화 시도를 통해 다수의 피해자를 만들어 내기도 합니다. 이것은 비싱이라고 합니다.
스미싱에 대해 자세히 알아보십시오.
소셜 미디어는 해커들이 쉽게 소셜 미디어를 사용하여 피싱 사기를 실행할 수 있을 만큼 온라인 세계의 중요한 부분이 되었습니다. 일반적인 Facebook 피싱 방식 중 하나는 ‘핫딜’ 또는 ‘무료 제공’을 ‘친구’의 계정에서 클릭하라는 내용과 함께 게시합니다. 이런 사기를 치려면 해커가 계정에 액세스할 수 있어야 합니다.
회사의 온라인 서버에 비밀번호가 유출되는 일이 발생한 경우 많은 계정에서 쉽게 해킹을 할 수 있습니다. 해커들은 Facebook이나 LinkedIn과 같은 다른 플랫폼에서 동일한 이메일과 비밀번호를 사용하여 계정 접속을 시도합니다.
소셜 미디어 피싱에 대해 자세히 알아보십시오.
사용자가 피싱 공격에 익숙해짐에 따라 해커는 새로운 공격 방법을 만들었습니다. 파밍은 사용자 컴퓨터의 DNS 캐시를 손상시킵니다. 이것은 드라이브 바이 다운로드를 사용하여 수행됩니다.
누군가가 웹사이트를 탐색하고 다음 웹사이트를 클릭할 때 공격자는 웹사이트에서 흔히 볼 수 있는 보안의 허점을 악용합니다. 웹사이트의 HTML 텍스트를 변경하는 것은 매우 쉽기 때문에 누군가가 웹사이트에 접속하거나 클릭하여 연결할 때의 정보 다운로드가 포함됩니다.
피해자가 이메일을 클릭하지 않으면 공격자는 은행에 연결할 때까지 기다리며 변경된 DNS 캐시 정보는 사용자를 가짜 은행 웹사이트로 안내합니다. 사용자 ID와 비밀번호를 입력하여 공격자에게 은행 계좌에 액세스하고 자금을 훔칠 수 있는 자격 증명을 제공합니다.
우리 자신을 보호하기 위해 개인으로서 할 수 있는 몇 가지 아주 구체적인 일이 있습니다.
조직은 위의 권고사항 외에도 다음과 같은 사항을 이행해야 합니다.