피싱이란?

피싱은 악의적인 행위자가 신뢰할 수 있는 사람이나 단체로 가장하여 메시지를 보내는 사이버 보안 공격의 한 유형입니다. 피싱 메시지는 사용자를 조작하여 악성 파일 설치, 악성 링크 클릭 또는 액세스 자격 증명과 같은 중요한 정보 유출과 같은 작업을 수행하도록 합니다.

피싱은 소셜 엔지니어링의 가장 일반적인 유형으로, 컴퓨터 사용자를 조작하거나 속이려는 시도를 설명하는 일반적인 용어입니다. 소셜 엔지니어링은 거의 모든 보안 사고에서 점점 더 많이 사용되는 위협 벡터입니다. 피싱과 같은 소셜 엔지니어링 공격은 멀웨어, 코드 삽입 및 네트워크 공격과 같은 다른 위협과 결합되는 경우가 많습니다.

Forrester Wave for Email Security 보고서 Harmony Email & Collaboration

피싱이란? 피싱 공격의 유형

피싱 공격: 통계 및 예

체크포인트 리서치(Checkpoint Research)는 최근 피싱 공격 및 기타 주요 사이버 위협에 대한 데이터를 제공하는 2023년 중기 사이버 보안 보고서를 발표했습니다.

According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.

피싱은 주요 멀웨어 변종에서 사용하는 일반적인 기술이기도 합니다. 예를 들어, 2023년 상반기에 가장 흔한 멀웨어인 Qbot은 피싱을 감염 메커니즘으로 사용하는 것으로 알려져 있습니다.

피싱의 작동 방식

피싱 공격의 기본 요소는 이메일, 소셜 미디어 또는 기타 전자 통신 수단을 통해 보내는 메시지입니다.

피싱 범죄자는 공개 리소스, 특히 소셜 네트워크를 사용하여 피해자의 개인 및 직장 경험에 대한 배경 정보를 수집할 수 있습니다. 이러한 소스는 잠재적 피해자의 이름, 직위, 이메일 주소, 관심사 및 활동과 같은 정보를 수집하는 데 사용됩니다. 그런 다음 피싱범은 이 정보를 사용하여 신뢰할 수 있는 가짜 메시지를 만들 수 있습니다.

일반적으로 피해자가 받는 이메일은 알려진 연락처나 조직에서 보낸 것으로 보입니다. 공격은 악성 첨부 파일 또는 악성 웹 사이트에 대한 링크를 통해 수행됩니다. 공격자는 피해자의 은행, 직장 또는 대학과 같은 신뢰할 수 있는 주체가 소유한 것처럼 보이는 가짜 웹 사이트를 설정하는 경우가 많습니다. 공격자는 이러한 웹 사이트를 통해 사용자 이름, 암호 또는 결제 정보와 같은 개인 정보를 수집하려고 시도합니다.

일부 피싱 이메일은 잘못된 카피라이팅과 글꼴, 로고 및 레이아웃의 부적절한 사용으로 인해 식별될 수 있습니다. 그러나 많은 사이버 범죄자들은 진짜처럼 보이는 메시지를 만드는 데 점점 더 정교해지고 있으며 전문 마케팅 기술을 사용하여 이메일의 효과를 테스트하고 개선하고 있습니다.

일반적인 피싱 기술

이메일 피싱(Phishing)

피셔는 다양한 기술을 사용하여 공격이 표적에게 더 그럴듯하게 보이도록 하고 목표를 달성합니다. 몇 가지 일반적인 피싱 기술은 다음과 같습니다.

  • 사회 공학: 사회 공학 은 심리학을 사용하여 피싱 공격의 대상을 조작합니다. 피싱범은 목적을 달성하기 위해 속임수, 강요, 뇌물 수수 또는 기타 기술을 사용할 수 있습니다.
  • 타이포스쿼팅: 피셔는 합법적이고 신뢰할 수 있는 도메인과 매우 유사한 도메인 및 URL을 사용할 수 있습니다. 대상이 충분한 주의를 기울이지 않으면 링크가 합법적이라고 생각할 수 있습니다.
  • 이메일 스푸핑: 스푸핑된 전자 메일은 전자 메일의 표시 이름이 전자 메일 수신자가 신뢰하는 사람에게 속하도록 설계되었습니다. 이메일의 발신자 필드는 데이터일 뿐이며 발신자가 제어합니다. 피셔는 이 사실을 이용하여 이메일이 신뢰할 수 있는 이메일 계정에서 온 것처럼 보이게 합니다.
  • URL 단축: bit.ly 와 같은 링크 단축기는 URL의 대상 대상을 숨깁니다. 피셔는 이를 사용하여 대상이 피싱 페이지에 대한 링크를 클릭하도록 속입니다.
  • 악성 리디렉션: 리디렉션은 원래 URL을 사용할 수 없거나, 부정확하거나, 오래된 경우 브라우저를 다른 페이지로 보내도록 설계되었습니다. 악성 리디렉션을 사용하여 사용자를 합법적인 페이지가 아닌 피싱 페이지로 보낼 수 있습니다.
  • 숨겨진 링크: 링크는 겉보기에 무해한 텍스트나 이미지에 숨겨져 있을 수 있습니다. 사용자가 실수로 숨겨진 링크를 클릭하면 피싱 페이지로 이동합니다.

피싱 공격의 5가지 유형

#1. 이메일 피싱(Phishing)

대부분의 피싱 공격은 이메일을 통해 전송됩니다. 공격자는 일반적으로 실제 조직을 모방한 가짜 도메인 이름을 등록하고 피해자에게 수천 개의 일반적인 요청을 보냅니다.

가짜 도메인의 경우 공격자는 문자를 추가하거나 바꿀 수 있습니다(예: mybank.com 대신 my-bank.com). 하위 도메인(예: mybank.host.com)을 사용합니다. 또는 신뢰할 수 있는 조직의 이름을 이메일 사용자 이름으로 사용합니다(예: mybank@host.com).

많은 피싱 이메일은 긴박감이나 위협을 사용하여 사용자가 이메일의 출처나 진위 여부를 확인하지 않고 신속하게 규정을 준수하도록 합니다.

이메일 피싱 메시지의 목표는 다음 중 하나입니다.

  • 사용자가 디바이스에 멀웨어를 설치하기 위해 악성 웹 사이트에 대한 링크를 클릭하도록 합니다.
  • 사용자가 감염된 파일을 다운로드하도록 하고 이를 사용하여 멀웨어를 배포합니다.
  • 사용자가 가짜 웹사이트로 연결되는 링크를 클릭하여 개인 데이터를 제출하도록 유도하는 행위
  • 사용자가 회신하고 개인 데이터를 제공하도록 합니다.

#2. 스피어 피싱(Spear Phishing)

스피어 피싱 에는 특정 사용자에게 전송되는 악성 이메일이 포함됩니다. 공격자는 일반적으로 피해자에 대한 다음 정보 중 일부 또는 전부를 이미 가지고 있습니다.

  • 이름
  • 근무지
  • 직책
  • 이메일 주소
  • 직무에 대한 구체적인 정보
  • 신뢰할 수 있는 동료, 가족 구성원 또는 기타 연락처 및 해당 글의 샘플

이 정보는 피싱 이메일의 효율성을 높이고 피해자가 송금과 같은 작업 및 활동을 수행하도록 조작하는 데 도움이 됩니다.

#3. 고래잡이

포경 공격은 고위 경영진 및 기타 고위직을 대상으로 합니다. 포경의 궁극적인 목표는 다른 유형의 피싱 공격과 동일하지만 기술은 종종 매우 미묘합니다. 고위 직원은 일반적으로 공개 도메인에 많은 정보를 가지고 있으며 공격자는 이 정보를 사용하여 매우 효과적인 공격을 만들 수 있습니다.

일반적으로 이러한 공격은 악성 URL 및 가짜 링크와 같은 트릭을 사용하지 않습니다. 대신, 그들은 피해자에 대한 연구에서 발견한 정보를 사용하여 고도로 개인화된 메시지를 활용합니다. 예를 들어, 포경 공격자는 일반적으로 가짜 세금 신고서를 사용하여 피해자에 대한 민감한 데이터를 발견하고 이를 사용하여 공격을 준비합니다.

#4. 스미싱(Smishing)과 비싱(Vishing)

이것은 서면 통신 대신 전화를 사용하는 피싱 공격입니다. 스미싱은 사기성 SMS 메시지를 보내는 것을 포함하고, 비싱은 전화 대화를 포함합니다.

일반적인 보이스 피싱 스캠에서 공격자는 신용 카드 회사 또는 은행의 스캠 조사관으로 가장하여 피해자에게 계정이 침해되었음을 알립니다. 그런 다음 범죄자는 피해자에게 신원을 확인하거나 보안 계정(실제로는 공격자의 계정)으로 돈을 이체하기 위해 결제 카드 정보를 제공하도록 요청합니다.

Vishing 스캠에는 신뢰할 수 있는 기관인 척 가장하여 피해자에게 전화 키패드를 사용하여 개인 정보를 입력하도록 요청하는 자동 전화 통화가 포함될 수도 있습니다.

#5. 낚시꾼 피싱(Angler Phishing)

이러한 공격은 잘 알려진 조직에 속한 가짜 소셜 미디어 계정을 사용합니다. 공격자는 합법적인 조직(예: "@pizzahutcustomercare")을 모방하는 계정 핸들을 사용하고 실제 회사 계정과 동일한 프로필 사진을 사용합니다.

공격자는 소셜 미디어 채널을 사용하여 불만을 제기하고 브랜드에 지원을 요청하는 소비자의 경향을 이용합니다. 그러나 소비자는 실제 브랜드에 연락하는 대신 공격자의 가짜 소셜 계정에 연락합니다.

공격자는 이러한 요청을 받으면 고객이 문제를 식별하고 적절하게 대응할 수 있도록 고객에게 개인 정보를 제공하도록 요청할 수 있습니다. 다른 경우에는 공격자가 실제로 악성 웹 사이트인 가짜 고객 지원 페이지에 대한 링크를 제공합니다.

피싱의 징후는 무엇입니까?

 

위협 또는 긴박감

부정적인 결과를 초래할 수 있는 이메일은 항상 회의적으로 다루어야 합니다. 또 다른 전략은 긴급성을 사용하여 즉각적인 행동을 장려하거나 요구하는 것입니다. 피셔는 서둘러 이메일을 읽음으로써 내용을 철저히 조사하지 않고 불일치를 발견하지 않기를 바랍니다.

메시지 스타일

피싱의 즉각적인 징후는 메시지가 부적절한 언어나 어조로 작성되었다는 것입니다. 예를 들어, 직장 동료가 지나치게 캐주얼하게 들리거나 친한 친구가 격식을 차린 언어를 사용한다면 의심을 불러일으킬 수 있습니다. 메시지 수신자는 피싱 메시지를 나타낼 수 있는 다른 항목을 확인해야 합니다.

비정상적인 요청

이메일에서 비표준 작업을 수행해야 하는 경우 이메일이 악성임을 나타낼 수 있습니다. 예를 들어 특정 IT 팀에서 보낸 것이라고 주장하고 소프트웨어 설치를 요청하는 전자 메일이 있지만 이러한 활동은 일반적으로 IT 부서에서 중앙에서 처리하는 경우 전자 메일은 악의적일 수 있습니다.

언어적 오류

맞춤법 오류와 문법 오용은 피싱 이메일의 또 다른 징후입니다. 대부분의 회사는 이메일 클라이언트에서 발신 이메일에 대한 맞춤법 검사를 설정했습니다. 따라서 철자나 문법 오류가 있는 이메일은 주장된 출처에서 온 것이 아닐 수 있으므로 의심을 불러일으켜야 합니다.

웹 주소의 불일치

잠재적인 피싱 공격을 식별하는 또 다른 쉬운 방법은 일치하지 않는 이메일 주소, 링크 및 도메인 이름을 찾는 것입니다. 예를 들어 보낸 사람의 전자 메일 주소와 일치하는 이전 통신을 확인하는 것이 좋습니다.

수신자는 실제 링크 대상을 보기 위해 링크를 클릭하기 전에 항상 이메일의 링크 위로 마우스를 가져와야 합니다. 이메일이 Bank of America에서 보낸 것으로 생각되지만 이메일 주소의 도메인에 "bankofamerica.com"가 포함되어 있지 않은 경우, 이는 피싱 이메일의 징후입니다.

자격 증명, 결제 정보 또는 기타 개인 정보 요청

많은 피싱 이메일에서 공격자는 공식 이메일로 보이는 이메일에서 연결된 가짜 로그인 페이지를 만듭니다. 가짜 로그인 페이지에는 일반적으로 로그인 상자 또는 금융 계좌 정보 요청이 있습니다. 예상치 못한 이메일인 경우 수신자는 로그인 자격 증명을 입력하거나 링크를 클릭해서는 안 됩니다. 예방 조치로 수신자는 이메일의 출처라고 생각되는 웹 사이트를 직접 방문해야 합니다.

피싱 공격으로부터 조직을 보호하는 5가지 방법

다음은 조직에서 피싱 공격의 위험을 줄일 수 있는 몇 가지 방법입니다.

#1. 직원 인식 교육

피싱 전략을 이해하고, 피싱 징후를 식별하고, 의심스러운 사고를 보안 팀에 보고하도록 직원을 교육하는 것이 가장 중요합니다.

마찬가지로 조직은 직원들이 웹 사이트와 상호 작용하기 전에 잘 알려진 사이버 보안 또는 바이러스 백신 회사의 신뢰 배지 또는 스티커를 찾도록 권장해야 합니다. 이것은 웹사이트가 보안에 대해 진지하고 가짜나 악의적이지 않을 수 있음을 보여줍니다.

#2. 이메일 보안 솔루션 배포

최신 이메일 필터링 솔루션은 이메일 메시지의 멀웨어 및 기타 악성 페이로드로부터 보호할 수 있습니다. 솔루션은 악성 링크, 첨부 파일, 스팸 콘텐츠 및 피싱 공격을 암시할 수 있는 언어가 포함된 이메일을 탐지할 수 있습니다.

이메일 보안 솔루션은 의심스러운 이메일을 자동으로 차단 및 격리하고 샌드박싱 기술을 사용하여 이메일에 악성 코드가 포함되어 있는지 확인하기 위해 이메일을 "폭파"합니다.

#3. 엔드포인트 모니터링 및 보호 활용

직장에서 클라우드 서비스 및 개인 디바이스의 사용이 증가함에 따라 완전히 보호되지 않을 수 있는 많은 새로운 엔드포인트가 도입되었습니다. 보안 팀은 일부 엔드포인트가 엔드포인트 공격에 의해 침해될 것이라고 가정해야 합니다. 엔드포인트에서 보안 위협을 모니터링하고 손상된 디바이스에 대한 신속한 수정 및 대응을 구현하는 것이 중요합니다.

#4. 피싱 공격 테스트 수행

시뮬레이션된 피싱 공격 테스트는 보안 팀이 보안 인식 교육 프로그램의 효과를 평가하고 최종 사용자가 공격을 더 잘 이해하는 데 도움이 될 수 있습니다. 직원이 의심스러운 메시지를 잘 찾더라도 실제 피싱 공격을 모방하기 위해 정기적으로 테스트해야 합니다. 위협 환경은 계속 진화하고 있으며 사이버 공격 시뮬레이션도 진화해야 합니다.

#5. 고부가가치 시스템 및 데이터에 대한 사용자 액세스 제한

대부분의 피싱 방법은 운영자를 속이도록 설계되었으며 권한 있는 사용자 계정은 사이버 범죄자에게 매력적인 표적입니다. 시스템 및 데이터에 대한 액세스를 제한하면 민감한 데이터가 유출되지 않도록 보호할 수 있습니다. 최소 권한 원칙을 사용하고 반드시 필요한 사용자에게만 액세스 권한을 부여합니다.

Phishing Protection and Prevention with Check Point

Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인