다양한 유형의 피싱 공격

게시 됨: 2022-07-27

피싱은 오늘날 기업이 직면한 가장 일반적인 사이버 위협 중 하나입니다.

너무 흔하기 때문에 많은 사람들이 피싱이 무엇이며 의미하는지, 그리고 존재하는 모든 다양한 변형의 피싱 공격이 무엇인지 정확하게 알지 못한다는 사실은 다소 놀라운 일입니다.

피싱이 무엇인지 아는 사람들조차도 여전히 잡히고 있습니다. 최근 2021년 보고서에 따르면 조직의 80% 이상이 작년에 피싱 공격의 피해를 입었습니다.

이것이 Data Connect 팀이 이 유용한 가이드를 통해 다양한 유형의 피싱 공격에 대한 인식을 높이는 데 도움이 되는 이유입니다.

아래 목록은 가장 일반적인 유형 중 일부일 뿐입니다.

피싱 공격의 영향

구글 피싱 퀴즈
이미지: 구글

조직은 피싱 공격의 희생자가 된 후 많은 결과를 처리해야 합니다.

훨씬 더 복잡한 접근 방식으로 사이버 공격이 매년 증가함에 따라 조직 구성원은 사이버 보안뿐만 아니라 회사 전체에 대한 피싱 공격의 위험과 영향을 인식해야 합니다.

Tessian의 데이터에 따르면 피싱 공격의 가장 일반적인 결과는 다음과 같습니다.

  • 데이터 손실
  • 자격 증명 및/또는 계정 손상
  • 랜섬웨어에 감염된 조직
  • 맬웨어 감염
  • 재정적 손실

피싱 공격은 조직이 극복해야 하는 복잡한 시나리오를 생성할 뿐만 아니라 회사를 벌금, 업무 중단, 사업 손실 및 수입의 위험에 빠뜨립니다.

또한 공격으로 인한 피해를 복구하는 데 드는 비용이 매우 클 수 있습니다. 따라서 피싱 공격을 이해하고 다양한 유형을 인식하는 것이 중요합니다.

올해 사이버 범죄자들이 가장 많이 사용하는 피싱 기법 6가지를 소개합니다.

이메일 피싱

Gmail 로고
이미지: KnowTechie

가장 흔하고 많이 발생하는 피싱 스타일은 이메일 피싱입니다. 피싱 공격에 대해 조금만 알고 있다면 이메일을 통한 공격에 직면하게 될 것입니다.

공격은 악성 이메일이 개인에게 전송될 때 발생하며, 종종 실제 조직인 것처럼 가장합니다.

링크를 한 번만 클릭하면 사이버 범죄자가 귀하의 기기를 맬웨어로 감염시키거나 귀하를 조작하여 개인 정보를 제공할 수 있습니다.

Cisco의 최근 사이버 보안 보고서에 따르면 2021년에 조직의 약 86%에서 최소 한 사람이 피싱 링크를 클릭한 것으로 나타났습니다. 이러한 공격이 실제로 얼마나 만연하고 위험이 있는지 보여줍니다.

스피어 피싱

스피어 피싱은 사이버 범죄자가 일반 대중 사용자 기반이 아닌 개인을 대상으로 하는 피싱 공격 유형을 설명하는 데 사용되는 용어입니다.

"성공"율과 관련하여 이러한 공격은 합법적인 콘텐츠 스푸핑(실제 이메일 모방)으로 인해 작동합니다.

이메일에는 수신자의 이름과 역할, 전화번호 및 기타 세부 정보와 같은 특정 세부 정보가 포함될 수 있으므로 가능한 한 믿을 수 있습니다.

공격자가 개인이 관여하고 있음을 알고 있는 신뢰할 수 있는 브랜드도 포함될 수 있습니다. 이것은 사람들이 매년 피싱 사기의 피해자가 되는 가장 일반적인 이유 중 하나입니다.

대단히

웨일링은 고위급 개인을 대상으로 하는 특정 유형의 피싱 공격으로, 대부분 조직의 CEO와 이사를 대상으로 합니다.

공격의 범인은 가짜 이메일로 개인을 속여 자격 증명에 액세스하거나 컴퓨터에 멀웨어를 설치하거나 강제로 송금하도록 합니다.

이사는 종종 비즈니스 내에서의 권한과 더 민감한 정보에 액세스할 수 있는 가능성으로 인해 표적이 됩니다.

이에 대한 예는 신뢰를 얻고 회사 데이터에 추가로 액세스하기 위해 조직의 다른 사용자에게 이메일을 보내는 것입니다.

스미싱과 비싱

스미싱 공격 예
이미지: KnowTechie

이들은 이메일에서 벗어나 다른 형태의 커뮤니케이션을 사용하는 두 가지 스타일의 피싱 공격입니다.

스미싱(Smishing)은 문자 메시지를 보내 피해자를 유인하는 SMS 피싱을 말한다.

종종 범죄자들은 ​​합법적인 사업을 속이고 피해자가 참여하도록 조작하기 위해 긴급성을 요구하는 것과 같은 사회 공학 기술을 사용합니다.

Tessian에 따르면 직원의 56%가 사기 문자 메시지를 받았으며 32%는 요청에 응했습니다.

종종 이러한 텍스트는 수신자가 다음을 포함한 여러 단계 중 하나를 완료하도록 권장합니다.

  • 사기 사이트에 대한 링크 열기
  • 사람에게 연락하기
  • 첨부 파일 또는 애플리케이션 다운로드

통계에 따르면 이러한 스타일의 피싱 공격이 증가하고 있으며 2019년에서 2020년 사이에 받은 스미싱 문자 수가 거의 3배 증가했습니다.

COVID-19 대유행 이후 범죄자들이 취약한 사람들을 표적으로 삼기 위해 진행중인 상황을 이용하여 사기성 문자 메시지를 받았을 수 있습니다.

Vishing은 "보이스 피싱"의 약자이며 전화를 통해 전달되어 피해자가 민감한 정보를 공유하도록 합니다. 대부분의 사람들은 이미 이러한 유형의 피싱을 알고 있습니다.

이는 더 정교해졌고 종종 공격의 첫 번째 단계가 아님을 의미합니다(예: 피해자 또는 비즈니스를 먼저 조사).

소셜 미디어 피싱

이미지: bandt.com.au

소셜 미디어 피싱은 이름에서 알 수 있듯이 소셜 미디어 플랫폼을 통해 실행되는 공격입니다. 여기에는 Facebook, Twitter, LinkedIn 및 Instagram과 같은 인기 있는 플랫폼이 포함됩니다.

일반적으로 이것은 소셜 미디어 계정을 제어하는 ​​데 사용되지만 기업의 경우 이 방법을 사용하면 악의적인 행위자가 개별 직원의 프로필을 통해 데이터와 자격 증명을 얻을 수도 있습니다.

LinkedIn을 사용하면 범죄자가 이러한 공격을 수행하는 데 필요한 정보를 훨씬 더 쉽게 찾을 수 있습니다.

피싱 공격으로부터 자신과 조직을 보호하기 위해 취해야 할 몇 가지 중요한 단계는 다음과 같습니다.

  • 피싱 시뮬레이션 및 교육을 통해 피싱 이메일을 인식하도록 팀 교육
  • 직원들이 보안 질문을 하고 의심스러운 활동이나 오류를 보고하는 것을 환영하는 문화를 만드는 데 도움이 됩니다.
  • 역할에 필요한 관리자만 액세스하도록 제한하여 맬웨어로 인해 발생할 수 있는 피해를 제한합니다.
  • 모든 계정에 대해 다단계 인증(MFA) 사용

이에 대한 생각이 있습니까? 아래 의견에 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

  • OpenSea, 이메일 유출 후 사용자에게 NFT 피싱 시도 경고
  • 피싱 공격으로부터 중소기업 보호
  • 보호해야 할 피싱 공격 유형
  • 안티 피싱 솔루션 – 필요하십니까?