피싱

피싱 공격은 사람들이 소셜 엔지니어링을 사용하여 “절대” 하지 않을 일을 하도록 속이려는 시도입니다.사기꾼들은 권위 있는 사람으로 가장하고 공포 전략을 사용함으로써 사람들이 자신의 은행 사이트와 비슷해 보이지만 실제로는 그렇지 않은 사이트에 로그인 자격 증명을 제출하도록 겁을 줄 수 있습니다.

계좌를 즉시 확인하지 않으면 계좌가 동결된다는 무서운 이메일을 은행으로부터 받은 적이 있습니까?또는 “IRS”로부터 “세금을 납부해야 하므로 즉시 납부하지 않으면 법적 조치가 취해질 것”이라는 전화를 받았을 수도 있습니다.“피싱”을 당했을 가능성이 있습니다.

다행히 피싱 공격은 궁극적으로 예방할 수 있는 사이버 공격의 한 유형입니다.

피싱 공격은 어떻게 작동하나요?

아무도 의도적으로 컴퓨터에 악성 소프트웨어를 설치하거나 로그인 자격 증명을 은행에 제공하지 않을 것입니다.하지만 피싱 공격은 여전히 성공적입니다.

다행히 피싱 공격은 대상 사용자가 조치를 취하지 않는 한 효과가 없습니다.이것이 핵심입니다.대부분의 피싱 공격은 대량의 법칙을 이용하여 한 번에 수천 명의 사람들을 표적으로 삼습니다. 수신자 중 극히 일부만 속임수에 넘어가서 민감한 정보를 넘겨주길 바라기 때문입니다.“피싱 공격자”가 사용할 수 있는 수법을 알면 피해자가 되는 것을 방지하는 데 도움이 됩니다.사이버 공격.다음으로 피싱 공격의 유형을 살펴보겠습니다.

피싱 공격 유형

1987년 피싱이라는 용어가 만들어진 이후, 피싱 공격에 사용되는 수법은 몇 가지 특정 유형의 피싱으로 발전했습니다.일반적인 피싱 유형은 다음과 같습니다.

바이러스

바이러스는 다른 유형의 소프트웨어에 연결된 맬웨어입니다.사용자가 대개 실수로 해당 바이러스가 연결된 소프트웨어를 실행하여 바이러스를 실행할 때마다 바이러스는 사용자 시스템의 다른 프로그램에 추가되어 스스로 복제됩니다.

표준 이메일 피싱

표준 이메일 피싱은 샷건 방식을 사용하여 최대한 많은 사람들에게 최대한 많은 이메일을 보냅니다.공격자들은 이메일 수신자 중 극히 일부만 악성 링크를 클릭하고 가짜 양식으로 로그인 자격 증명을 입력하여 이러한 수법에 빠지게 함으로써 민감한 정보를 훔치려 합니다.

스피어 피싱

공격자가 특정 개인의 관심을 끌기 위해 이메일 메시지를 디자인하는 것을 스피어 피싱이라고 하며, 특정 물고기를 노리는 스피어맨의 이미지를 불러옵니다.

이러한 경우 공격자는 온라인에서 공격 대상을 찾으며, 때로는 상세한 작업 기록이 있는 LinkedIn과 같은 소셜 네트워크를 사용하여 개인에 대한 정보를 수집합니다.그런 다음 동일한 도메인의 스푸핑 이메일 주소를 사용하여 대상의 업무용 이메일 주소로 이메일을 보냅니다.피싱 공격자는 이름과 성, 근무하는 회사의 도메인 이름을 기반으로 대상의 업무용 이메일을 추측할 수 있기 때문에 쉽게 할 수 있습니다.

이메일에서 공격자는 직원으로 가장하여 표적이 민감한 정보를 유출하거나 자금을 이체하도록 유도합니다.

고래잡이

포경이나 고래 피싱은 스피어피싱과 동일하지만, 공격의 대상이 회사의 CEO나 이사회 구성원과 같이 세간의 이목이 높은 개인이라는 점만 다릅니다.포경 공격은 일반적으로 공격 대상자에 대한 많은 조사를 필요로 하며, 공격자가 받는 보상이 크기 때문에 준비 시간도 많이 걸립니다.

멀웨어 피싱

멀웨어 피싱은 표준 이메일 피싱과 동일한 방법을 사용합니다.맬웨어 피싱 공격은 일반적으로 표적이 아닌 방법으로 가능한 한 많은 장치를 악성 소프트웨어로 감염시킵니다.피셔는 표적이 멀웨어를 다운로드하고 설치하는 이메일 링크를 클릭하도록 유도하려고 합니다.이 멀웨어는 사용자를 차단하고 몸값을 요구하는 랜섬웨어, 사용자에게 광고를 넘치게 하는 애드웨어, 장치의 데이터를 훔치거나 사용자의 키 입력을 기록하는 스파이웨어 등 모든 유형일 수 있습니다.

스미싱

스미싱은 SMS 지원 휴대폰으로 악성 링크를 보내는 공격입니다.링크가 계정 경고 및 경품 알림으로 가장하여 휴대폰 사용자가 링크를 클릭하도록 속일 수 있습니다.

검색 엔진 피싱

검색 엔진 피싱은 검색 엔진 최적화 또는 유료 검색 엔진 광고를 사용하여 검색 엔진 결과에서 높은 순위의 자격 증명을 도용하도록 설계된 사기성 사이트를 확보합니다.의심하지 않는 사용자는 자신이 잘 알려진 사이트에 있다고 가정하고 자격 증명을 입력하면 가짜 오류 메시지를 받게 됩니다.그때쯤이면 공격자는 이미 데이터를 훔쳤을 것입니다.

맨 인 더 미들 어택

이러한 유형의 공격은 일반적으로 공용 Wi-Fi 네트워크가 있는 지역에서 발생합니다.공격자는 의심하지 않는 사람들이 연결할 수 있는 가짜 무료 공용 Wi-Fi 네트워크를 만들 것입니다.사용자가 연결되면 공격자는 정보를 피싱할 수 있습니다.

비싱

비싱은 보이스 피싱의 약자입니다.이 공격에는 가짜 전화가 포함됩니다.발신자는 자신이 IRS와 같은 정부 기관이나 대규모 조직에서 온 사람이라고 말하며 은행 세부 정보나 신용 카드 정보를 공개하도록 공격 대상으로 삼으려 할 것입니다.

파밍

이를 DNS 포이즈닝이라고도 합니다.공격자는 DNS를 손상시켜 은행 사이트나 다른 조직으로 향하는 합법적인 트래픽을 가짜 사이트로 라우팅하여 사용자 정보를 훔칠 수 있습니다.

클론 피싱

이러한 유형의 피싱 공격에서는 공격자가 합법적인 사용자의 이메일이나 소셜 계정을 해킹한 다음 사용자의 연락처에 악성 이메일이나 메시지를 보냅니다. 연락처는 이메일이 신뢰할 수 있는 출처에서 왔기 때문에 링크를 클릭할 수 있습니다.

악성 광고

이러한 유형의 피싱에는 합법적인 회사의 광고로 가장한 가짜 광고가 포함됩니다.광고는 사용자를 합법적인 사이트로 안내하는 대신 사용자를 피싱 사이트로 안내합니다.

성공적인 피싱 공격의 결과는 무엇입니까?

피싱 공격은 자격 증명을 손상시키거나 데이터에 대한 무단 액세스를 얻기 위한 기법일 뿐이라는 점을 고려하면 피싱 공격은 여러 가지 결과를 초래할 수 있습니다.몇 가지 결과는 다음과 같습니다.

  • 데이터 손실: 공격자는 피싱을 사용하여 민감한 데이터에 액세스하고 훔칠 수 있습니다.
  • 평판 손상: 피싱 공격은 기업의 평판을 손상시킬 수 있습니다.
  • 계정 침해: 대부분의 피싱 공격은 사용자 자격 증명을 대상으로 합니다.
  • 멀웨어 감염: 피싱 공격의 대다수는 수신자를 속여 유효한 소프트웨어로 가장한 멀웨어를 설치하도록 시도합니다.
  • 금전적 손실: 많은 피싱 공격은 온라인 뱅킹 자격 증명을 표적으로 삼거나 은행 송금을 요청합니다.

피싱 공격을 어떻게 방지하나요?

모든 피싱 공격은 예방할 수 있습니다.해커는 표적 사용자가 어떤 행동을 취해야만 성공할 수 있습니다.피싱 공격을 방지하는 방법은 여러 가지가 있습니다.

  • 교육: 피싱 공격을 방지하는 가장 좋은 방법 중 하나는 교육입니다.표적 상호작용 없이는 피싱 공격이 발생하지 않을 것입니다.
  • 안티바이러스 및 안티맬웨어: 보안 소프트웨어는 피싱 체계에 의해 설치된 멀웨어가 피해를 입기 전에 이를 탐지하고 비활성화할 수 있습니다.
  • 이메일 및엔드포인트 보안: 이메일에서 악성 링크를 검사하고 샌드박싱할 수 있습니다.
  • 마이크로 세그멘테이션: IT 인프라를 미세하게 세분화하면 장치 하나를 감염시켰을 수 있는 맬웨어의 측면 이동을 방지하고 기업 네트워크에 대한 손상을 제한할 수 있습니다.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?