프리텍스팅이란 피해자의 신뢰를 얻기 위해 조작된 이야기 또는 구실을 사용하여 피해자를 속이거나 조종하여 민감한 정보를 공유하거나, 멀웨어를 다운로드하거나, 범죄자에게 돈을 보내거나, 자신이나 자신이 근무하는 조직에 해를 끼치도록 하는 행위를 말합니다.
프리텍스팅은 스피어 피싱, 웨일링, 비즈니스 이메일 침해 또는 BEC(아래 참조)와 같은 표적형 소셜 엔지니어링 공격의 핵심 전술입니다. 그러나 사이버 범죄자, 그리고 단순한 지상파 범죄자도 개인이나 조직의 귀중한 정보나 자산을 훔치기 위해 자체적으로 프리텍스팅을 사용할 수도 있습니다.
최신 데이터 유출 비용 보고서를 통해 데이터 유출 위험을 더 잘 관리할 수 있는 인사이트를 확보하세요.
IBM Security X-Force Threat Intelligence Index 등록하기
보안 전문가인 Gavin Watson, Andrew Mason, Richard Ackroyd는 소셜 엔지니어링 침투 테스트(ibm.com 외부 링크)에서 대부분의 프리텍스트는 캐릭터와 상황이라는 두 가지 주요 요소로 구성된다고 설명합니다.
캐릭터는 스토리에서 사기꾼이 맡은 역할입니다. 잠재적 피해자의 신뢰를 쌓기 위해 사기꾼은 일반적으로 상사나 임원 등 피해자에 대한 권한을 가진 사람이나 동료, IT 직원 또는 서비스 제공자와 같이 피해자가 신뢰할 수 있는 사람으로 가장합니다. 일부 공격자는 표적이 된 피해자의 친구나 사랑하는 사람을 사칭하려고 시도할 수 있습니다.
여기에서 상황은 사기꾼이 피해자에게 무언가를 해달라고 요구하기 위한 가짜 이야기의 줄거리입니다. 상황은 일반적일 수도 있고(예: '계정 정보를 업데이트해야 합니다') 특히 사기꾼이 특정 피해자를 대상으로 하는 경우 매우 구체적일 수 있습니다.
위협 행위자는 캐릭터를 사칭하고 상황을 사실적으로 만들기 위해 일반적으로 온라인에서 캐릭터와 공격 대상을 조사합니다. 이는 그렇게 어려운 일이 아닙니다. Omdia의 보고서에 따르면 해커는 소셜 미디어 피드 및 기타 공개 소스의 정보를 바탕으로 약 100분 동안의 일반 Google 검색을 통해 설득력 있는 스토리를 만들 수 있다고 합니다.
캐릭터를 더 사실적으로 만들기 위한 다른 기술로는 캐릭터의 이메일 주소나 전화번호를 스푸핑하거나 캐릭터의 실제 이메일 계정이나 전화번호에 무단으로 액세스하여 메시지를 보내는 데 사용하는 등의 기법도 있습니다. 프리텍스팅의 미래를 엿볼 수 있는 사례로, 2019년 사기꾼들은 인공 지능(AI)을 사용하여 회사의 모회사 CEO의 목소리를 사칭하고 회사의 공급업체에 지불을 요청하는 사기성 전화를 걸어 영국의 한 에너지 회사를 속여 미화 243,000달러를 뜯어냈습니다.
비즈니스 이메일 침해 사기
비즈니스 이메일 침해(BEC)는 프리텍스팅에 크게 의존하는 특히 악랄한 유형의 표적 소셜 엔지니어링입니다. BEC에서 캐릭터는 표적에 대한 권한이나 영향력을 가진 실제 회사 임원 또는 고위 비즈니스 동료입니다. 상황은 캐릭터가 긴급한 작업으로 도움이 필요한 경우일 수 있습니다. 예: 공항에서 무한 대기 중인데 비밀번호를 잊어버렸습니다. 내 비밀번호를 결제 시스템으로 보내 줄 수 있을까요? 또는 첨부된 인보이스를 지불하기 위해 은행 계좌 #YYYYYY(으)로 $XXX,XXX.XX를 송금해 줄 수 있나요?
매년 BEC는 가장 큰 피해를 입히는 사이버 범죄 중 하나로 손꼽힙니다. IBM의 2022년 데이터 유출 비용 보고서에 따르면 BEC로 인한 데이터 침해로 인해 피해자는 평균 489만 달러의 피해를 입었습니다. 그리고 FBI 인터넷 범죄 신고 센터의 데이터에 따르면(ibm.com 외부 링크) BEC는 2021년에 피해자들에게 총 24억 달러에 달하는 손실을 입혔습니다.
계정 업데이트 사기
여기에서 사기꾼은 회사 대표인 척 가장하여 청구 정보가 만료되었거나 의심스러운 구매와 같은 계정 문제를 피해자에게 경고합니다. 사기꾼은 피해자의 인증 자격 증명, 신용 카드 정보, 은행 계좌 번호 또는 주민등록번호를 훔치는 가짜 웹사이트로 피해자를 연결하는 링크를 포함합니다.
조부모 사기
많은 소셜 엔지니어링 사기와 마찬가지로 이 사기도 노인들을 표적으로 삼습니다. 사이버 범죄자는 피해자의 손자로 위장하여 교통사고를 당했거나 체포되었다는 등 곤경에 처한 것처럼 가장하여 조부모가 병원비나 보석금을 지불할 수 있도록 돈을 보내달라고 요구합니다.
로맨스 사기
데이트 프리텍스팅 사기에서 사기꾼은 피해자와 로맨틱한 관계를 원하는 척합니다. 피해자의 마음을 얻은 후 사기꾼은 일반적으로 피해자와의 관계를 방해하는 마지막 장애물, 즉 엄청난 빚, 법적 의무, 심지어 피해자를 방문하기 위한 비행기 티켓 비용 등을 충당할 수 있는 돈을 요구합니다.
암호화폐 사기
확실한 암호화폐 기회를 가진 성공적인 투자자로 가장한 사기꾼은 피해자를 가짜 암호화폐 거래소로 안내하여 피해자의 금융 정보나 돈을 훔칩니다. 연방거래위원회(FTC)에 따르면(ibm.com 외부 링크) 미국 소비자들은 2021년 1월부터 2022년 3월까지 암호화폐 사기로 10억 달러 이상의 손실을 입었습니다.
IRS/정부 사기
IRS 공무원, 법 집행관 또는 기타 정부 대리인으로 가장한 사기꾼은 표적이 세금을 납부하지 않았거나 체포 영장이 발부되는 등 어떤 종류의 문제에 처해 있다고 주장하고 모기지 유치권, 압류된 임금 또는 징역형을 피하기 위해 돈을 지불하도록 지시합니다. 물론 결제 금액은 사기꾼의 계좌로 입금됩니다.
프리텍스팅은 다음을 포함한 많은 소셜 엔지니어링 사기의 핵심 요소입니다.
피싱. 앞서 언급했듯이 프리텍스팅은 특정 개인을 대상으로 하는 피싱 첨부 파일인 스피어 피싱과 민감한 정보나 시스템에 대한 액세스 권한이 있는 임원 또는 직원을 대상으로 하는 스피어 피싱인 웨일링을 포함한 표적 피싱 공격에서 특히 일반적입니다.
그러나 프리텍스팅은 비표적 '스프레이 앤 프레이(spray-and-pray)' 이메일 피싱, 음성 피싱(비싱) 또는 SMS 텍스트 피싱(스미싱) 사기에서도 중요한 역할을 합니다. 예를 들어 사기꾼은 수백만 명의 사람들에게 '[여기에 글로벌 은행 이름 입력]: 귀하의 계좌가 초과인출되었습니다'와 같은 문자 메시지를 보낼 수 있습니다. 수신자 중 일부가 해당 은행의 고객이고 그 중 일부가 메시지에 응답할 것으로 예상할 수 있습니다.
테일게이팅. "피기백"이라고도 하는 테일게이팅은 권한이 없는 사람이 승인된 사람을 따라 보안 사무실 건물과 같이 허가가 필요한 위치로 들어가는 것을 말합니다. 사기꾼은 테일게이팅 시도를 더 성공시키기 위해 프리텍스팅을 사용하여 배달원으로 가장하고 순진한 직원에게 잠긴 문을 열어달라고 요청합니다.
베이팅. 이러한 유형의 공격에서 범죄자는 매력적이지만 손상된 미끼로 피해자를 유인하여 멀웨어를 다운로드하도록 유도합니다. 미끼는 물리적(예: 악성 코드가 탑재된 USB 스틱을 공공장소에 눈에 띄게 방치) 또는 디지털(예: 멀웨어로 판명된 영화 무료 다운로드 광고) 방식일 수 있습니다. 사기꾼은 종종 미끼를 더 매력적으로 만들기 위해 프리텍스팅을 사용합니다. 예를 들어, 사기꾼은 손상된 USB 드라이브에 라벨을 부착하여 특정 회사의 소유이며 중요한 파일이 포함되어 있다고 암시할 수 있습니다.
여러 산업별 법률에서 프리텍스팅의 명시성을 규제하고 있습니다. 1999년 Gramm-Leach-Bliley 법은 금융 기관을 속이는 프리텍스팅을 범죄로 규정하여 허위 행위로 고객의 금융 정보를 취득하는 것을 범죄로 규정하고 있습니다. 또한 금융 기관은 직원에게 프리텍스팅 행위를 탐지하고 방지하는 방법을 교육하도록 요구합니다. 2006년 전화 기록 및 개인 정보 보호법은 통신 제공업체가 보유한 고객 정보에 액세스하기 위해 프리텍스팅을 사용하는 것을 명시적으로 금지합니다.
2021년 12월, FTC는 정부 기관 또는 기업의 사칭을 공식적으로 금지하는 새로운 규칙(ibm.com 외부 링크)을 제안했습니다 . 이 규칙은 FTC가 허가 없이 비즈니스 로고를 사용하거나, 합법적인 비즈니스를 모방한 가짜 웹사이트를 만들거나, 비즈니스 이메일을 스푸핑하는 것과 같은 일반적인 프리텍스팅을 금지하는 권한을 부여합니다.
다른 형태의 소셜 엔지니어링과 마찬가지로 프리텍스팅은 해결할 수 있는 기술적 취약성보다는 인간의 심리를 악용하기 때문에 이에 대응하기가 어려울 수 있습니다. 하지만 조직에서 취할 수 있는 효과적인 조치가 있습니다.
X-Force Red 소셜 엔지니어링 서비스를 통해 피싱, 비싱 및 물리적 소셜 엔지니어링 훈련을 통해 직원들을 테스트하세요.
지능적이고 통합된 통합 위협 관리 접근 방식으로 비즈니스를 보호하세요. 이를 통해 지능형 위협을 탐지하고, 정확하게 대응하고, 장애로부터 복구할 수 있습니다.
능동형 보호를 위한 AI, 분석, 딥러닝, 더욱 정확한 위협 탐지를 위한 머신 러닝, 더 빠른 응답을 위한 자동화, 분석 기능이 포함됩니다.
피싱 사기는 피해자를 속여 중요한 데이터를 유출하고, 악성 코드를 다운로드하고, 이들이나 조직을 사이버 범죄에 노출시킵니다.
소셜 엔지니어링은 기술적 해킹이 아닌 인간의 본성에 의존하여 사람들을 조종하여 개인 또는 기업 네트워크의 보안을 손상시킵니다.
모바일 보안이 무엇인지, 왜 중요한지, 어떻게 작동하는지 이해하십시오.