다양한 피싱 공격 유형과 타겟팅 방법 이해

피싱 공격이 전 세계적으로 계속 증가함에 따라 온라인 환경에서 가장 어려운 위협 중 하나가 되었습니다. FBI는 최신 보고서에서 미국인들이 2023년에만 피싱 사기로 125억 달러 이상을 잃었다고 강조했습니다. 이메일 피싱이 가장 널리 퍼진 방법이지만 공격자들은 민감한 정보를 훔치기 위해 점점 더 다양한 전략을 사용하고 있습니다. 이 기사에서는 다양한 유형의 피싱 공격, 전술 및 이를 보호하기 위한 효과적인 조치를 살펴봅니다.

피싱 이해

다양한 피싱 공격 유형과 그들이 당신을 표적으로 삼는 방법

이미지 출처: ShutterStock

피싱은 사이버 범죄자들이 개인, 금융 또는 로그인 자격 증명을 공개하도록 속이는 다양한 기만적인 전술을 포함합니다. 공격자는 종종 평판이 좋은 조직이나 신뢰할 수 있는 연락처를 사칭하여 합법적이고 설득력 있는 것처럼 보이는 메시지를 작성합니다. 이러한 사기는 피해자가 악성 링크를 클릭하거나 감염된 파일을 다운로드하거나 무의식적으로 민감한 정보를 공유하도록 장려합니다.

피싱 공격의 확대

디지털 상호작용의 붐으로 피싱 사기의 발생률이 상당히 높아졌습니다. 오늘날의 피싱 커뮤니케이션은 생성 AI와 기타 정교한 기술의 발전 덕분에 진짜 메시지와 거의 구별할 수 없습니다. 종종 제대로 실행되지 않았던 이전의 피싱 시도와 달리, 현대의 전술은 기술에 정통한 사람조차 속일 수 있는 매우 설득력 있는 콘텐츠를 포함합니다.

피싱 공격의 종류

피싱은 여러 가지 뚜렷한 형태로 나타나며, 각각은 타겟을 낚기 위해 특정 전략을 활용합니다. 가장 일반적인 유형은 다음과 같습니다.

1. 이메일 피싱

이메일 피싱은 가장 오래되었지만 가장 널리 사용되는 전술 중 하나로, 겉보기에 신뢰할 수 있는 이메일을 통해 개인을 표적으로 삼습니다. 사이버 범죄자는 일반적으로 은행, 정부 기관 또는 잘 알려진 리테일러와 같은 신뢰할 수 있는 기관에서 온 것처럼 보이는 이메일을 조작합니다.

피싱 이메일

식별 특성:

  • 사용자에게 링크를 클릭하거나 첨부 파일을 다운로드하거나 로그인 정보를 공개하도록 요청하는 경우
  • AI 기술을 사용하여 매우 설득력 있게 제작되었으므로 감지하기 어렵습니다.
  • 공식 로고, 현실적인 제목, 개인화된 인사말을 활용합니다.

보호 조치:

  • 항상 발신자의 이메일 주소를 확인하세요.
  • 알 수 없는 출처의 링크나 첨부 파일을 클릭하지 마세요.
  • 사기 행위가 의심되는 경우 해당 기관에 직접 연락하세요.

2. 스미싱

스미싱 또는 SMS 피싱은 문자 메시지를 사용하여 피싱 공격을 실행합니다. 문자 메시지는 개인적이거나 긴급하다는 일반적인 인식을 감안할 때, 스미싱 사기는 높은 성공률을 보이는 경향이 있습니다.

https://www.youtube.com/watch?v=pLPpl2ISKTg

일반적인 스미싱 전술:

  • 추적 링크를 포함한 패키지 배달 관련 메시지입니다.
  • 비정상적인 계좌 활동을 나타내는 “은행”의 알림.
  • 알 수 없는 번호에서 대화를 시도하는 메시지입니다.

예: 돼지 도살

가해자들이 시간이 지남에 따라 신뢰를 쌓고, 궁극적으로 피해자가 가짜 암호화폐 플랫폼에 투자하도록 설득하는 잘 알려진 스미싱 사기입니다.

보호 팁:

  • 요청하지 않은 메시지의 링크를 클릭하지 마세요.
  • 공식 웹사이트나 앱을 직접 방문하여 알림을 확인하세요.
  • 대부분의 모바일 기기에 탑재된 스팸 차단 필터를 활용하세요.

3. 앵글러 피싱

앵글러 피싱은 주로 소셜 미디어 플랫폼에서 발생하는데, 공격자는 합법적인 고객 서비스 담당자를 가장하여 사용자가 도움을 요청하거나 문제를 보고하도록 악용합니다.

작동 원리:

  • 사기꾼은 고객 서비스 계정을 가장하여 문제에 대한 “해결책”을 제공합니다.
  • 자격 증명을 수집하기 위해 위조된 로그인 페이지로 링크를 제공할 수 있습니다.

앵글러 피싱 인식:

  • 사용자 이름에 약간의 차이(문자나 기호 추가)가 있는지 주의하세요.
  • 개인 정보를 공개하기 전에 소셜 미디어 계정을 확인하세요.
  • 파란색 확인 표시가 있는 검증된 계정에만 응답하세요.

4. 소원

https://www.youtube.com/watch?v=BEHl2lAuWCk

비싱(Vishing) 또는 음성 피싱은 공격자가 은행이나 정부 기관 등 평판이 좋은 조직에 속한 것처럼 가장하고 개인에게 전화를 거는 수법입니다.

비싱 방법론:

  • 공격자는 사기 경고나 기술적 어려움과 같은 시나리오를 주장하며 긴박감을 조성합니다.
  • 주민등록번호나 계좌 정보 등 개인 정보를 요청할 수도 있습니다.

비싱에 대한 방어 조치:

  • 전화를 종료하고 해당 기관의 공식 지원 전화번호로 직접 연락하세요.
  • 개인 정보를 요청하는 요청하지 않은 전화는 의심하세요.
  • 대부분의 스마트폰에 탑재된 사기 차단 기능을 활용하세요.

5. 스피어 피싱

스피어 피싱은 특정 개인이나 그룹을 표적으로 삼는다는 점에서 전통적인 피싱과 다릅니다. 공격자는 피해자의 직무 역할이나 최근 소속과 같은 자세한 정보를 수집하여 설득력 있는 커뮤니케이션을 만들어냅니다.

전문화된 타겟팅:

  • 고래사냥: 임원 등 유명 인사를 표적으로 삼는 스피어피싱의 한 종류.

시나리오 예:

  • 아는 동료로부터 민감한 정보를 제공해 달라는 요청을 받거나, 금전 거래를 신속하게 처리해 달라는 요청을 받는 경우.

보호 전략:

  • 대체 의사소통 방법을 통해 동료의 요청을 확인합니다.
  • 신뢰할 수 있는 사람에게서 온 것처럼 보이더라도 특이한 요청에는 주의하세요.

6. 워터링 홀 공격

워터링 홀 공격에서 공격자는 자주 방문하는 신뢰할 수 있는 웹사이트를 손상시키고, 해당 사이트의 코드에 맬웨어나 악성 링크를 삽입합니다.

워터링 홀 공격의 효과:

  • 피해자는 자신도 모르게 침해된 사이트를 방문하게 됩니다.
  • 공격자는 특정 인구통계에 맞는 웹사이트를 공격하는 경향이 있습니다.

예방 조언:

  • 브라우저와 보안 소프트웨어를 정기적으로 업데이트하세요.
  • 과도한 팝업이나 리디렉션 등 비정상적인 동작을 보이는 웹사이트와의 상호작용을 제한하세요.

7. 웹사이트 스푸핑

웹사이트 스푸핑은 합법적인 웹사이트를 모방한 사기성 웹사이트를 만들어서 사용자를 속여 민감한 정보를 입력하게 하는 것을 말합니다. 공격자가 인기 있는 사이트의 도메인 이름과 유사한 도메인 이름을 사용하는 타이포스쿼팅은 이러한 공격에서 자주 사용되는 전술입니다.

스푸핑 웹사이트의 메커니즘:

  • 사용자는 URL을 잘못 입력하여 실수로 가짜 사이트를 방문할 수 있습니다(예: “Amazonn.com”“Amazon.com” ).
  • 위조 사이트는 합법적인 것처럼 보이지만 실제로는 로그인 자격 증명과 기타 민감한 데이터를 수집하도록 특별히 설계되었습니다.

방어 조치:

  • 개인 정보를 입력하기 전에 URL을 다시 한번 확인하세요.
  • 중요한 계정에 대해 2단계 인증을 활성화합니다.
  • 방문한 사이트의 적법성을 확인하려면 비밀번호 관리자를 활용하세요.

피싱 공격의 징후

잠재적인 피싱 시도를 식별하면 피해자가 될 위험을 크게 줄일 수 있습니다. 다음은 일반적인 경고 신호입니다.

  • 특이한 이메일 주소: 도메인 이름에 철자 오류나 불필요한 문자가 있는지 주의하세요.
  • 긴급 요청: 피싱 메시지는 일반적으로 즉각적인 조치를 촉구합니다.
  • 일반적인 인사말: “고객님” 과 같은 일반적인 문구를 사용하는 메시지에 주의하세요 .
  • 예상치 못한 첨부 파일이나 링크: 알 수 없는 출처의 첨부 파일은 클릭하지 마세요.
  • 언어 오류: 피싱 시도에는 여전히 문법이나 철자 오류가 있을 수 있습니다.

피싱 공격에 대한 효과적인 대응책

  1. 다중 요소 인증(MFA) 활성화 :
    • MFA를 구현하면 보안 계층이 강화되어 계정에 대한 무단 액세스가 더욱 복잡해집니다.
  2. 자신과 다른 사람들에게 알리기 :
    • 피싱 전략에 대한 최신 정보를 얻고, 의심스러운 의사소통을 식별하도록 가족과 동료를 교육하세요.
  3. 안티피싱 솔루션 활용 :
    • 많은 이메일 제공업체가 내장된 피싱 감지 시스템을 가지고 있습니다. 또한, 바이러스 백신 소프트웨어는 피싱 방지 기능을 제공합니다.
  4. 정보 요청 확인 :
    • 민감한 정보에 대한 모든 요청은 공식 채널을 통해 검증되어야 합니다.
  5. 소프트웨어를 최신 상태로 유지하세요 :
    • 정기적인 업데이트를 통해 알려진 취약점으로부터 보호합니다.

결론적인 생각

피싱의 풍경은 기본적인 이메일 사기에서 다양한 플랫폼의 사용자를 대상으로 하는 복잡한 온라인 위협으로 확대되었습니다. 스미싱에서 워터링 홀 공격에 이르기까지 각 피싱 변형에 대한 철저한 이해는 개인이 이러한 위험을 식별하고 회피할 수 있는 지식을 갖추도록 합니다. 경계를 유지하고 예방 조치를 취함으로써 점점 더 정교해지는 사이버 위협의 희생자가 될 위험을 크게 최소화할 수 있습니다.

출처 및 이미지

관련 기사:

윈도우에서 사용할 수 없는 꼭 시도해야 할 8가지 독특한 Mac 애플리케이션
Nvidia GeForce Experience 오버레이 활성화 및 비활성화 가이드

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다