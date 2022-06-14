피싱

피싱 공격은 수신자를 조종하여 민감한 정보를 공유하거나, 악성 소프트웨어를 다운로드하거나, 잘못된 사람에게 돈이나 자산을 이체하거나, 기타 유해한 조치를 취하도록 유도하는 디지털 또는 음성 메시지입니다. 사기 행위자는 피싱 메시지를 신뢰할 수 있거나 믿을 수 있는 조직이나 개인(때로는 수신자가 개인적으로 알고 있는 개인)이 보낸 것처럼 보이거나 들리도록 조작합니다.

피싱 사기에는 여러 유형이 있습니다:

대량 피싱 이메일 은 한 번에 수백만 명의 수신자에게 전송됩니다. 국내 또는 글로벌 은행, 대형 온라인 소매업체, 유명 온라인 결제 서비스 제공업체 등 잘 알려진 대형 기업이나 조직에서 보낸 것으로 보이며 '구매 처리에 문제가 있으니 신용정보를 업데이트해 주세요'와 같은 일반적인 요청을 합니다. 이러한 메시지에는 수신자의 사용자 이름, 비밀번호, 신용카드 데이터 등을 캡처하는 가짜 웹사이트로 연결되는 악성 링크가 포함되어 있는 경우가 많습니다.



스피어 피싱 은 일반적으로 사용자 정보, 컴퓨터 네트워크 또는 기업 자금에 대한 권한 있는 액세스 권한을 가진 특정 개인을 대상으로 합니다. 사기 행위자는 주로 LinkedIn, Facebook 또는 기타 소셜 미디어에서 찾은 정보를 사용해 대상자를 조사하여 대상자가 알고 신뢰하는 사람이 보낸 것처럼 보이거나 대상자가 익숙한 상황을 언급하는 메시지를 작성합니다. 웨일 피싱은 CEO나 정치인 등 유명 인사를 대상으로 하는 스피어 피싱 공격입니다. 비즈니스 이메일 침해(BEC)에서는 해커가 유출된 자격 증명을 사용하여 기관 관계자의 실제 이메일 계정에서 이메일 메시지를 전송하므로 사기를 탐지하기가 훨씬 더 어렵습니다.



보이스 피싱 또는 비싱 은 전화 통화를 통해 이루어지는 피싱입니다. 개인은 일반적으로 FBI에서 보낸 것이라고 주장하는 위협적인 녹음 통화의 형태로 비싱을 경험합니다.



SMS 피싱, 즉 스미싱은 문자 메시지를 통한 피싱입니다.



검색 엔진 피싱 은 해커가 인기 검색어에 대한 검색 결과에서 높은 순위를 차지하는 악성 웹사이트를 만드는 것을 말합니다.



앵글러 피싱은 신뢰할 수 있는 회사의 고객 서비스 또는 고객 지원 팀의 공식 계정을 가장한 가짜 소셜 미디어 계정을 통한 피싱입니다.

IBM Security X-Force Threat Intelligence Index 2023에 따르면 피싱은 전체 인시던트의 41%에서 확인된 주요 멀웨어 감염 벡터입니다. 또한 2024년 데이터 침해 비용 보고서에 따르면 피싱은 초기 공격 벡터로 가장 비용이 많이 드는 데이터 유출로 이어집니다.

베이팅(Baiting)

베이팅은 가치 있는 제안이나 귀중한 물건으로 유혹하여 피해자가 고의 또는 무의식적으로 민감한 정보를 제공하거나 악성 코드를 다운로드하도록 유도하는 것입니다.

나이지리아 왕자 사기는 아마도 이러한 소셜 엔지니어링 수법의 가장 잘 알려진 예일 것입니다. 더 최근의 예로는 무료이지만 맬웨어에 감염된 게임, 음악 또는 소프트웨어 다운로드가 있습니다. 하지만 일부 형태의 미끼는 그다지 교묘하지 않습니다. 예를 들어, 일부 위협 행위자는 멀웨어에 감염된 USB 드라이브를 사람들이 쉽게 찾을 수 있는 곳에 두고, 사람들이 '공짜 USB 드라이브'라는 이유로 이를 가져가서 사용하도록 만듭니다.

테일게이팅(tailgating)

'피기백(piggybacking)'이라고도 하는 테일게이팅에서는 권한이 없는 사람이 권한이 있는 사람을 밀접하게 따라다니며 민감한 정보나 귀중한 자산이 포함된 영역을 방문합니다. 테일케이팅은 위협 행위자가 잠기지 않은 문을 통해 직원을 따라다니는 등 직접 수행할 수 있습니다. 그러나 뒤쫓는 것은 개인 계정이나 네트워크에 로그인한 상태에서 컴퓨터를 방치한 경우와 같이 디지털 전술일 수도 있습니다.

프리텍스팅(pretexting)

위협 행위자는 프리텍스팅을 통해 피해자에게 가짜 상황을 만들고 이를 해결하기에 적합한 사람인 것처럼 가장합니다. 사기 행위자는 가장 아이러니하게도 피해자가 보안 침해로 인해 피해를 입었다고 주장한 다음, 피해자가 중요한 계정 정보 또는 피해자의 컴퓨터 또는 기기에 대한 통제권을 제공하면 문제를 해결해 주겠다고 제안하는 경우가 많습니다. (기술적으로 말하면 거의 모든 소셜 엔지니어링 공격에는 어느 정도의 프리텍스팅이 포함됩니다.)

대가성(Quid pro quo)

대가성 사기에서는 해커가 피해자의 민감한 정보를 교환하는 대가로 바람직한 상품이나 서비스를 제공합니다. 가짜 콘테스트 상금이나 겉으로 보기에 무고한 로열티 보상('결제해 주셔서 감사합니다. 선물을 준비했습니다.')은 대가성 수법의 예입니다.

스케어웨어(Scareware)

멀웨어의 하나의 형태로 간주되는 스케어웨어는 공포를 이용해 기밀 정보를 공유하거나 멀웨어를 다운로드하도록 사람들을 조종하는 소프트웨어입니다. 스케어웨어는 사용자를 범죄로 고발하는 가짜 법 집행 통지 또는 사용자에게 장치에 악성 코드가 있음을 경고하는 가짜 기술 지원 메시지의 형태를 취하는 경우가 많습니다.

워터링 홀(watering hole) 공격

'누군가 우물에 독을 뿌렸다'는 말에서 알 수 있듯이 해커는 공격 대상이 자주 이용하는 합법적인 웹 페이지에 악성 코드를 삽입합니다. 워터링 홀 공격은 자격 증명 도용부터 의도치 않은 드라이브 바이 랜섬웨어 다운로드에 이르기까지 모든 원인이 됩니다.