피싱: 종합 가이드 | 2024년 8월

피싱, 사이버 보안 위협은 그 어느 때보다 널리 퍼져 있습니다. 그러한 위협 중 하나는 지속적으로 주목을 받고 있습니다. 이것은 사이버 범죄자들이 비밀번호, 신용카드 번호 및 기타 개인 정보와 같은 민감한 정보를 노출하도록 개인을 속이기 위해 사용하는 기만적인 전략입니다. 온라인 세계를 탐색하는 모든 사람에게 그 이유를 이해하는 것이 중요한데, 이는 온라인 세계를 인식하고 잠재적인 공격을 피하는 데 도움이 되기 때문입니다.

이 기사는 그것이 무엇인지, 배경 및 개인과 조직에 어떻게 영향을 미치는지 탐구할 것입니다.

피싱이란 무엇입니까?

이는 공격자가 은행, 회사 또는 심지어 친구와 같은 합법적인 실체를 사칭하여 개인에게 기밀 정보를 제공하도록 속이는 사이버 공격의 한 형태입니다. “피싱”라는 용어는 “낚시”라는 단어에서 파생되었으며, 이는 공격자가 겉보기에는 진정한 의사소통의 형태로 미끼로 목표물을 유혹하는 방법을 상징합니다. 이 공격은 이메일, 소셜 미디어 및 문자 메시지를 포함한 다양한 채널을 통해 발생할 수 있으므로 다재다능하고 위험한 위협이 될 수 있습니다.

이 공격은 일반적으로 평판이 좋은 출처에서 온 것처럼 보이지만 악의적인 링크 또는 첨부 파일을 포함하는 메시지를 포함합니다.

이러한 메시지는 종종 긴급함이나 두려움을 만들어 피해자가 출처를 확인하지 않고 빠르게 행동하도록 만듭니다. 일단 피해자가 미끼를 물으면, 그들은 자신의 자격 증명을 훔치거나 기기에 악성 프로그램을 다운로드하도록 설계된 가짜 웹 사이트로 향합니다.

피싱 배경

이것은 사회공학의 정교한 형태이며, 개인이 기밀 정보를 누설하도록 조작하는 데 사용되는 다양한 전략을 포괄하는 광범위한 용어입니다.

사회공학은 종종 두려움, 호기심 또는 탐욕과 같은 감정을 행동에 영향을 미치기 위해 인간의 심리를 이용합니다.

이것은 여러 유형으로 분류될 수 있으며, 각각은 특정 취약점이나 플랫폼을 대상으로 합니다. 가장 일반적인 형태는 이메일 피싱, 창 피싱, 포경입니다.

친숙한 이메일 주소에 대한 신뢰, 고위 관리의 권위, 유명 브랜드의 신뢰 등 각 유형은 인간 행동의 다양한 측면을 활용하도록 맞춤화되어 있습니다.

피싱의 기원/역사

그것은 1990년대 중반까지 거슬러 올라가는 사이버 보안의 세계에서 비교적 긴 역사를 가지고 있습니다. 최초로 알려진 피싱 공격은 공격자들이 계정 자격 증명을 제공하도록 속이기 위해 인스턴트 메시지를 사용하는 AOL (아메리카 온라인) 사용자를 대상으로 했습니다.

그 결과, 이 방법은 매우 효과적인 것으로 입증되었고, 유사한 공격의 급증으로 이어졌습니다.

연도이벤트세부 사항
1990년대 중반AOL 피싱공격자들은 AOL 자격 증명을 얻기 위해 인스턴트 메시지를 사용했습니다.
2000년대 초반이메일 피싱이메일은 피싱 공격의 주요 매개체가 되었습니다.
2010년대창 피싱특정 개인이나 조직을 중심으로 더욱 표적화된 공격이 등장했습니다.

인터넷이 발전함에 따라 전술도 발전했습니다. 소셜 미디어, 모바일 장치 및 클라우드 서비스의 증가는 공격자가 활용할 수 있는 새로운 길을 제공하여 더 정교하고 광범위한 캠페인을 이끌었습니다.

피싱 의 종류

그것은 각각 독특한 특성과 작동 방법을 가진 다양한 형태로 나타납니다.

따라서 이러한 유형을 이해하는 것은 개인과 조직이 이러한 공격의 희생자가 되지 않도록 더 잘 보호하는 데 도움이 될 수 있습니다.

유형묘사
이메일 피싱공격자가 합법적인 출처에서 온 것으로 보이는 대량 전자 메일을 보내는 가장 일반적인 양식입니다.
창 피싱공격자가 메시지를 특정 개인이나 조직에 맞게 조정하는 보다 표적화된 접근 방식입니다.
포경간부나 공인 등 세간의 이목을 끄는 인물을 대상으로 하는 창 피싱의 일종입니다.
피싱 복제공격자는 합법적인 이메일을 복제하고 악의적인 링크나 첨부 파일과 함께 재발송합니다.
비싱공격자가 전화 통화를 사용하여 합법적인 개체를 사칭하고 정보를 얻는 음성 피싱.
스미싱문자 메시지를 사용하여 중요한 데이터를 제공하도록 피해자를 유인하는 SMS 피싱.

피싱 은 어떻게 작동합니까?

이 공격은 특정 유형에 관계없이 일반적인 패턴을 따릅니다. 공격자는 일반적으로 이메일 주소, 소셜 미디어 프로필 및 전화 번호와 같은 표적에 대한 정보를 수집하는 것으로 시작합니다. 그런 다음 종종 로고, 공식 언어 및 통신에 신뢰성을 부여하는 기타 요소를 포함하여 신뢰할 수 있는 출처에서 나온 것처럼 보이는 설득력 있는 메시지를 만듭니다.

메시지가 준비되면 공격자는 링크를 클릭하거나 첨부 파일을 다운로드하기를 바라며 대상에게 메시지를 보냅니다.

피해자가 미끼에 넘어가면 공격자는 보통 합법적인 웹사이트를 모방한 가짜 웹사이트로 리디렉션하여 자격 증명을 입력하도록 촉구합니다.

그런 다음 공격자는 이러한 자격 증명을 수집하고 계정에 액세스하거나 자금을 훔치거나 추가 공격을 수행하는 데 사용합니다.

피싱 장단점

본질적으로 악의적이지만, 그 메커니즘을 이해하는 것은 왜 그것이 널리 퍼져 있는 위협으로 남아 있는지, 그리고 어떻게 그것과 싸울 수 있는지에 대한 통찰력을 제공할 수 있습니다.

프로스콘스
공격자에게 효과적입니다금전적 손실 발생
탐지가 어렵습니다탐지가 어렵습니다
고도의 표적이 될 수 있습니다평판 훼손
인간의 심리를 이용합니다지속적인 경계가 필요합니다

효과와 공격 개시 비용이 저렴하기 때문에 사이버 범죄자들이 선호합니다. 하지만 개인과 조직에는 상당한 단점이 있어 금전적 손실, 신분 도용 및 평판 손상으로 이어집니다.

피싱 사고가 발생한 회사

세간의 이목을 끄는 몇몇 회사들이 이 공격의 피해자가 되었고, 이는 위협의 광범위한 성격을 강조합니다. 각각의 사례는 사이버 보안 조치의 중요성에 대한 교훈을 제공합니다.

구글

2017년에는 이 정교한 공격이 구글 직원들을 목표로 하여 민감한 데이터에 무단으로 접근하게 만들었습니다. 이 공격은 가짜 구글 문서 링크를 사용하여 사용자들을 속여 악성 앱에 대한 권한을 부여했습니다.

페이스북

공격자들이 사용자들에게 가짜 로그인 프롬프트를 보내는 등 페이스북도 이 캠페인의 표적이 되어 왔습니다. 이러한 프롬프트는 종종 페이스북 로그인 페이지를 모방하여 계정을 손상시킵니다.

소니 픽처스

소니 픽처스는 2014년에 이 공격으로 인해 직원 기록과 미공개 영화를 포함한 기밀 데이터가 유출되었습니다. 이 공격은 회사 네트워크에 액세스하기 위해 이 전술을 사용한 북한 해커와 관련이 있습니다.

피싱 의 응용

자격 증명만 도용하는 것이 아니라 다양한 산업 분야에서 다양한 응용 프로그램을 사용하여 종종 치명적인 결과를 초래합니다.

금융 부문

그것은 일반적으로 은행 계좌와 신용 카드를 목표로 하는 데 사용됩니다. 공격자들은 가짜 경고나 진술을 보내서 사용자들이 사기 웹사이트에 로그인 세부 정보를 입력하도록 합니다.

헬스케어

의료 산업에서 이는 범죄자가 환자 데이터를 훔치는 것으로 이어질 수 있으며, 이는 암시장에서 판매되거나 보험 사기에 사용될 수 있습니다.

교육

사이버 범죄자들은 또한 이러한 캠페인을 통해 학생 기록이나 재정 지원 정보를 훔치는 것을 목표로 교육 기관을 대상으로 합니다.

결론

이는 여전히 디지털 세상에서 가장 널리 퍼져 있고 위험한 위협 중 하나로 남아 있습니다. 개인과 조직은 그것이 무엇인지, 어떻게 작동하는지, 그리고 그것이 취할 수 있는 다양한 형태를 이해함으로써 이러한 공격의 희생자가 되지 않도록 더 잘 보호할 수 있습니다. 피싱 전략이 계속 발전하고 있기 때문에 정보를 얻고 경계하는 것이 중요합니다.

참고문헌