스미싱이란?

스미싱은 피싱 모바일 디바이스를 대상으로 하는 공격. 스미셔는 이메일을 통해 피싱 콘텐츠를 보내는 대신 SMS 또는 MMS 문자 메시지를 사용하여 메시지를 전달합니다. 원격 근무 및 BYOD(Bring Your Own Device) 정책으로 인해 비즈니스용 모바일 디바이스 사용이 보편화됨에 따라 스미싱은 엔터프라이즈 사이버 보안에 대한 위협이 커지고 있습니다.

데모 요청하기 eBook 읽기

스미싱이란?

스미싱 공격은 어떻게 작동하나요?

피싱에 대한 일반적인 개념은 이메일에 초점을 맞추고 있는데, 이는 이메일이 피싱 콘텐츠를 전달하는 가장 보편적인 매체 중 하나였기 때문입니다. 그러나 피싱 범죄자가 목표를 달성할 수 있는 유일한 방법은 아닙니다.

모바일 디바이스 사용량이 급격히 증가함에 따라 이러한 디바이스는 피셔에게 매우 중요한 "항상 켜져 있는" 사고방식을 가지고 있습니다. 모바일 디바이스는 여러 통신 채널(이메일, 소셜 미디어 등)에 액세스할 수 있지만 문자 메시지는 피셔에게 몇 가지 이점이 있습니다.

문자 메시지는 이메일과 마찬가지로 악성 링크 또는 첨부 파일(MMS의 경우)을 포함할 수 있으므로 다음과 동일한 기술을 사용할 수 있습니다. phishing emails. 그러나 문자 메시지는 길이가 제한되고 브랜드에서 사용량이 증가하는 등 이메일에 비해 몇 가지 장점이 있습니다.

예를 들어, SMS 메시지에서 링크 단축 서비스의 사용은 일상적이며, 이러한 서비스는 링크의 대상을 미리 보기 어렵게 만듭니다. 또한 휴대폰에서는 사용자가 링크 위로 마우스를 가져가 목적지를 볼 수 없습니다. 이 두 가지 요소 모두 공격자가 SMS를 통한 피싱을 더 쉽고 효과적으로 수행할 수 있도록 합니다

스미싱 공격의 예

기존의 이메일 기반 피싱 공격과 마찬가지로 스미싱 공격은 다양한 구실을 사용하여 수신자가 메시지에 포함된 링크를 클릭하도록 속입니다. 몇 가지 일반적인 구실은 다음과 같습니다.

  • 계정 문제: 브랜드는 고객 서비스에 SMS 메시지를 점점 더 많이 사용하고 있으며 사용자는 계정에 대한 문제 또는 알림에 대한 문자를 받는 데 익숙할 수 있습니다. Smishers는 문제가 있다고 주장하고 수신자에게 계정 자격 증명을 도용하는 가짜 링크를 가리키는 문자를 보낼 수 있습니다.
  • 코비드-19: 현재 사건은 피싱 공격의 일반적인 구실이며 COVID-19 전염병은 사이버 범죄자에게 수많은 기회를 제공했습니다. 코로나 기반 스미싱 스캠은 "접촉자 추적"을 위해 개인 정보를 요청하거나 피싱 사이트로 연결되는 경기 부양 수표 및 공공 안전 업데이트에 대한 부정확한 정보를 제공할 수 있습니다.
  • 금융 서비스: 스미셔는 금융 서비스 기관으로 가장하여 수신자에게 계정의 일부 활동을 확인하도록 요청할 수 있습니다. 대상이 응답하면 스미셔는 확인 프로세스의 일부로 로그인 자격 증명 또는 기타 개인 정보를 훔치려고 시도할 수 있습니다.
  • MFA 코드: SMS는 다중 인증(MFA)에 사용되는 가장 일반적인 방법 중 하나이므로 일부 스미싱 공격은 이러한 코드를 훔치도록 설계되었습니다. 피싱범은 수신자에게 문자로 전송된 MFA 코드를 공격자에게 알려 신원을 확인해야 한다고 알릴 수 있습니다. 공격자는 사용자로 로그인을 시도하여 이 코드를 트리거한 다음 수신자가 올바른 코드를 제공하면 액세스 권한을 얻습니다.
  • 주문 확인: 스미싱 메시지에는 가짜 주문 확인과 해당 주문을 수정하거나 취소할 수 있는 링크가 포함될 수 있습니다. 수신자가 링크를 클릭하면 로그인 자격 증명을 훔치는 가짜 사이트로 연결됩니다.

이것은 스미셔가 공격에 사용하는 가장 일반적인 구실 중 일부입니다. 원격 근무 및 BYOD 정책의 증가로 인해 모바일 디바이스 사용이 증가함에 따라 이러한 공격은 더욱 일반화되고 정교해지고 있습니다.

스미싱 공격으로부터 보호하는 방법

스미싱 공격은 다른 매체를 통해 수행되는 피싱 공격일 뿐이므로 다음을 포함하여 동일한 모범 사례가 많이 적용됩니다.

  • 링크를 클릭하지 마십시오. 문자 메시지의 링크는 링크 단축 및 링크 위로 마우스를 가져가 대상을 볼 수 없기 때문에 확인하기 어렵습니다. 문자 메시지의 링크를 클릭하는 대신 대상 사이트로 직접 이동합니다.
  • 데이터를 제공하지 않음: 스미싱 공격은 일반적으로 신원 확인 또는 기타 구실로 가장하여 대상의 민감한 데이터를 훔치도록 설계되었습니다. 웹사이트에 나와 있는 번호로 전화를 걸거나 문자를 보내지 않은 사람에게 개인 데이터를 제공하지 마십시오.
  • Appstore에서 앱 설치: 스미싱 공격은 수신자를 속여 모바일 디바이스에 악성 앱을 설치하도록 설계될 수 있습니다. 항상 평판이 좋은 앱 스토어의 앱을 설치하고, 이상적으로는 제작자의 웹사이트에서 진위 여부를 확인한 후에 설치하세요.

MFA 코드를 공유하지 않음: 문자 메시지는 일반적으로 온라인 계정의 MFA 코드를 전송하는 데 사용되며, 사기꾼은 사용자의 신원을 확인하기 위해 MFA 코드를 보낸 것처럼 가장할 수 있습니다. 누구에게도 MFA 코드를 제공하지 마십시오.

스미싱 공격 체크 포인트로 보호

원격 및 하이브리드 작업 모델과 BYOD 디바이스 정책의 부상으로 모바일 디바이스는 비즈니스의 핵심 부분이 되고 있으며 모바일 보안 그 어느 때보다 중요합니다. 이로 인해 스미싱 공격은 개인뿐만 아니라 기업에게도 심각한 위협이 됩니다.

체크 포인트와 Avanan은 안티피싱(피싱 방지) 솔루션 이는 스미싱 공격을 포함한 모든 공격 벡터에 대한 보호를 제공합니다. 피싱으로부터 회사의 모바일 디바이스를 보호하는 방법에 대해 자세히 알아보려면 Harmony, 천만에요 무료 데모 요청하기.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인