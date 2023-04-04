엄밀히 말해 BEC는 스피어 피싱의 일종으로, 특정 개인 또는 개인 그룹을 표적으로 삼는 피싱 공격입니다. BEC는 스피어 피싱 공격 중에서도 유일무이한 것으로, 기업이나 조직의 직원이나 동료를 대상으로 하며, 사기범은 표적이 알고 있거나 신뢰할 수 있는 동료를 가장합니다.

일부 BEC 공격은 사기범 한 명이 단독으로 저지르지만, BEC 갱단이 공격을 시작하는 경우도 있습니다. 이러한 조직은 표적을 찾는 범행 대상 발견 전문가, 이메일 계정에 침입하는 해커, 피싱 이메일에 오류가 없고 설득력 있게 작성하는 전문 작가와 같은 전문가 등을 고용하여 합법적인 기업처럼 운영됩니다.

사기범이나 갱단이 강탈할 기업을 선택한 후에는 BEC 공격은 일반적으로 동일한 패턴을 따릅니다.



표적 조직 선택



거의 모든 기업, 비영리 단체, 정부 기관이 BEC 공격의 표적이 될 수 있습니다. 막대한 자금과 많은 고객을 보유하고 있으며, 거래량이 많아 BEC가 눈에 띌 가능성이 적은 조직은 명백한 표적이 됩니다.

그러나 세계적 또는 국지적으로 발생하는 상황을 계기로 BEC 공격자들은 더 구체적인 기회를 얻을 수 있으며 그중 일부는 보다 확연하게 두드러집니다. 예를 들어, 코로나19 대유행 기간에는 의료 장비 및 소모품 공급업체를 사칭한 BEC 사기범들이 병원과 의료 기관에 청구서를 발행하고 있다고 FBI가 경고하기도 했습니다.

경제적 피해를 입힌 또 다른 예로, 2021년에는 BEC 사기범들이 뉴햄프셔주 피터버러에서 유명한 교육 및 건설 프로젝트를 악용하여 마을 기금에서 230만 달러의 자금을 허위 은행 계좌로 빼돌린 사건(ibm.com 외부 링크)이 발생했습니다.



표적 직원 및 발신자 신원 조사



다음으로, 사기범은 피싱 이메일을 수신할 직원과 사기범이 스푸핑(사칭) 할 발신자의 신원을 파악하기 위해 표적 조직과 그 활동을 조사하기 시작합니다.

BEC 사기는 일반적으로 지급 권한이나 민감한 데이터에 액세스할 권한이 있고 고위 관리자 또는 임원으로부터 이러한 요청을 받을 때 따르게 되는 중간급 직원(예: 재무 부서 또는 인사(HR) 관리자)을 대상으로 합니다. 일부 BEC 공격은 보안 인식 교육을 거의 또는 전혀 받지 않았거나, 적절한 지급 또는 데이터 공유 절차 및 승인에 대해 잘 알지 못하는 신입 직원을 표적으로 삼기도 합니다.

발신자 신원을 사칭할 대상으로, 사기범은 표적 직원에게 신뢰감을 주면서 특정 행동을 하도록 요청하거나 유도할 수 있는 동료 또는 업무 파트너를 선택합니다. 일반적으로는 조직 내 고위 관리자, 임원 또는 변호사가 해당합니다.

외부인을 사칭할 때는 공급업체 또는 파트너 조직의 임원을 선택할 수도 있고, 표적 직원이 정기적으로 거래하는 공급업체, 거래에 자문을 제공하는 변호사, 기존 또는 신규 고객 등 표적 직원의 동료 또는 협력자를 가장할 수도 있습니다.

다수의 사기범은 합법적인 마케팅 및 영업 전문가가 사용하는 것과 동일한 잠재 고객 생성 도구(링크드인 및 기타 소셜 미디어 네트워크, 비즈니스 및 업계 뉴스, 잠재 고객 발굴 및 목록 작성 소프트웨어)를 사용하여 잠재적인 표적 직원과 사칭할 신원을 찾습니다.



표적 및 발신자 네트워크 해킹



모든 BEC 공격자가 표적 및 발신자 조직의 네트워크를 해킹하는 단계를 밟지는 않습니다. 그러나 해킹하는 공격자는 멀웨어처럼 실제로 공격하기 몇 주 전에 표적과 발신자를 관찰하고 정보와 액세스 권한을 축적합니다. 이를 통해 공격자는 다음을 수행할 수 있습니다.

관찰된 행동 및 액세스 권한을 기반으로 가장 적합한 표적 직원 및 발신자 신원을 선택합니다.



송장을 제출하는 방법과 결제 또는 민감한 데이터 요청을 처리하는 방법에 대해 자세히 알아내어 공격 이메일에서 더 효과적인 요청을 가장할 수 있습니다.



공급업체, 변호사 등에 대한 특정 지급 기한을 정합니다.



합법적인 공급업체 송장 또는 구매 주문서를 가로채고 이를 변경하여 공격자의 은행 계좌로 지급하도록 지정합니다.



발신자의 실제 이메일 계정을 제어하여 사기범이 해당 계정에서 공격 이메일을 직접 보낼 수 있으며, 때로는 진행 중인 실제 이메일 대화에 사기 이메일을 끼워 넣어 진짜를 가장할 수도 있습니다.



공격 준비 및 실행



BEC 공격이 성공하려면 설득력 있게 사칭해야 합니다. 따라서 사기범은 신뢰할 수 있고 그럴듯한 공격 이메일을 작성하기 위해 노력합니다.

발신자의 이메일을 해킹하지 않은 경우에는 사기범은 발신자의 합법적인 이메일 주소처럼 보이도록 스푸핑하는 가짜 이메일 계정을 생성합니다. 예를 들어 jane.smith@company.com이 실제 이메일 주소라면 jsmith@company.com 또는 jane.smith@cornpany.com처럼 이름을 살짝 바꾸거나 도메인 이름의 철자를 바꿀 수 있습니다. 보낸 사람의 회사 로고가 포함된 서명 또는 상세하지만 허위로 작성된 개인정보 취급방침과 같은 다른 시각적 단서를 추가할 수도 있습니다.

공격 이메일의 핵심 구성 요소는 '명분'입니다. 즉, 공격 표적의 신뢰를 얻어 공격 표적이 공격자가 원하는 대로 행동하도록 설득하거나 압박하기 위해 만들어 낸 그럴듯한 이야기가 필요합니다. 인지할 수 있는 상황에 긴급성과 결과의 영향이 결합된 명분이 가장 효과적입니다. BEC에 사용되는 명분의 전형적인 예로, "지금 비행기를 타야 하는데 연체료를 물지 않도록 이 송장(첨부)을 빨리 처리해 주시겠어요? "라는 관리자나 CEO의 메시지를 들 수 있습니다.

경우에 따라 사기범은 가짜 웹사이트를 개설하거나, 가짜 회사를 등록하거나, 표적 직원이 확인을 위해 전화할 수 있는 가짜 전화번호를 제공할 수도 있습니다.