피싱은 여전히 세계에서 가장 큰 사이버 보안 위협 중 하나입니다.
실제로 사이버 보안 회사 Barracuda의 연구에 따르면 피싱이 너무 만연하여 코로나바이러스와 관련된 피싱 공격이 올해 1월부터 3월까지 667% 증가했습니다. 더욱 놀라운 것은 Intel 연구에 따르면 최대 97%의 사람들이 피싱 이메일을 식별할 수 없다는 것입니다.
피해자가 되지 않으려면 피싱 공격자가 공격할 수 있는 다양한 방법을 알아야 합니다. 다음은 마주할 수 있는 8가지 유형의 피싱 시도입니다.
1. 이메일 피싱
이것은 합법적인 회사를 모방하도록 설계된 일반적인 피싱 이메일입니다. "뿌리고 기도하는" 방식을 사용하는 가장 덜 정교한 유형의 공격입니다.
그들은 특정 사람을 표적으로 삼지 않고 종종 순진한 피해자가 링크를 클릭하거나 파일을 다운로드하거나 이메일의 지침을 따르기를 바라는 수백만 명의 사용자에게 일반적인 이메일을 보냅니다.
그들은 종종 개인화되지 않았기 때문에 "친애하는 계정 소유자" 또는 "친애하는 소중한 회원"과 같은 일반적인 인사말을 사용합니다. 또한 사용자가 링크를 클릭하도록 유도하기 위해 '긴급'과 같은 단어와 함께 공황이나 두려움을 자주 사용합니다.
2. 스피어 피싱
이것은 특정 그룹 또는 특정 개인을 대상으로 하는 보다 정교하고 발전된 유형의 피싱입니다. 유명 해커가 조직에 침투하기 위해 종종 사용합니다.
사기꾼은 사람, 배경 또는 일상적으로 상호 작용하는 사람에 대해 광범위한 조사를 수행하여 보다 개인적인 메시지를 작성합니다. 그리고 개인 사용자가 더 많기 때문에 문제가 있다고 의심하지 않는 경우가 많습니다.
이메일 주소와 편지 형식을 해당 연락처에서 일반적으로 받는 내용과 비교하여 항상 확인하십시오. 아는 사람이 보낸 것 같더라도 첨부 파일을 다운로드하거나 링크를 클릭하기 전에 보낸 사람에게 전화를 걸어 모든 것을 확인하는 것이 가장 좋습니다.
3. 포경
이것은 또 다른 정교하고 발전된 유형의 피싱으로, 관리자나 CEO와 같은 유명 기업 임원을 대상으로 한 특정 그룹의 사람들만을 대상으로 합니다.
그들은 때때로 경례를 통해 대상을 직접 언급하며 메시지는 소환장, 법적 불만 사항 또는 파산, 해고 또는 법적 비용을 피하기 위해 긴급 조치가 필요한 형식일 수 있습니다.
공격자는 일반적으로 자금이나 민감한 정보에 접근할 수 있는 조직의 핵심 인물을 대상으로 개인에 대한 광범위한 연구와 전문적인 메시지 작성에 많은 시간을 할애합니다.
해커가 액세스 코드 또는 로그인 정보를 수집할 수 있는 확실한 로그인 페이지로 연결되는 링크가 대상에게 전송됩니다. 일부 사이버 범죄자는 피해자에게 소환장이나 서신의 나머지 부분을 보기 위해 첨부 파일을 다운로드하도록 요청하기도 합니다. 이러한 첨부 파일에는 컴퓨터에 액세스할 수 있는 멀웨어가 포함되어 있습니다.
4. 비싱
비싱 또는 보이스 피싱은 일종의 피싱이지만 공격자는 이메일을 보내는 대신 전화를 통해 로그인 정보나 은행 정보를 얻으려고 합니다.
공격자는 조직의 직원이나 서비스 회사의 지원 직원을 가장한 다음 감정을 활용하여 피해자에게 은행 또는 신용 카드 정보를 넘겨달라고 요청합니다.
메시지는 세금, 경연 대회 상금과 같은 연체 금액에 관한 것일 수도 있고 컴퓨터에 대한 원격 액세스를 요청하는 가짜 기술 지원 담당자가 보낸 것일 수도 있습니다. 그들은 또한 미리 녹음된 메시지와 전화번호 스푸핑을 사용하여 해외 전화를 현지인 것처럼 보이게 할 수 있습니다. 이는 공격에 대한 신뢰성을 부여하고 피해자가 전화가 합법적이라고 믿도록 하기 위해 수행됩니다.
전문가들은 로그인 정보, 주민등록번호, 은행 및 신용카드 정보와 같은 민감한 정보를 전화로 절대 알려주지 말라고 조언합니다. 전화를 끊고 즉시 은행이나 서비스 제공업체에 전화하십시오.
5. 스미싱
스미싱은 문자나 SMS 메시지를 사용하는 모든 형태의 피싱입니다. 피셔는 가짜 사이트로 연결되는 텍스트를 통해 전송된 링크를 클릭하도록 유도합니다. 신용카드 세부정보와 같은 민감한 정보를 입력하라는 메시지가 표시됩니다. 그러면 해커가 사이트에서 이 정보를 수집합니다.
때때로 상품을 받았다거나 정보를 입력하지 않으면 특정 서비스에 대해 시간당 요금이 계속 청구될 것이라고 알려줍니다. 일반적으로 모르는 번호의 문자에는 답장하지 않는 것이 좋습니다. 또한 특히 출처를 모르는 경우 문자 메시지에서 받은 링크를 클릭하지 마십시오.
6. 낚시꾼 피싱
이 비교적 새로운 피싱 전술은 소셜 미디어를 사용하여 사람들이 민감한 정보를 공유하도록 유인합니다. 사기꾼은 소셜 미디어에 은행 및 기타 서비스에 대해 게시하는 사람들을 모니터링합니다. 그런 다음 해당 회사의 고객 서비스 담당자인 것처럼 가장합니다.
예치금 지연이나 불량 은행 서비스에 대한 폭언을 게시했는데 게시물에 은행 이름이 포함되어 있다고 가정해 보겠습니다. 사이버 범죄자는 이 정보를 사용하여 은행에서 온 것처럼 가장한 다음 귀하에게 연락합니다.
그런 다음 고객 서비스 담당자와 이야기할 수 있도록 링크를 클릭하라는 메시지가 표시됩니다. 그러면 고객 서비스 담당자가 '본인 확인'을 위한 정보를 요청할 것입니다.
이런 메시지를 받았을 때 공식 트위터나 인스타그램 페이지와 같은 안전한 채널을 통해 항상 고객 서비스에 연락하는 것이 가장 좋습니다. 일반적으로 확인된 계정 서명이 있습니다.
7. CEO 사기 피싱
이것은 거의 고래 잡이와 같습니다. CEO와 관리자를 대상으로 하지만 목표가 CEO로부터 정보를 얻는 것이 아니라 CEO를 가장하는 것이기 때문에 더욱 교활해집니다. 그런 다음 공격자는 CEO 또는 이와 유사한 것으로 가장하여 동료에게 이메일을 보내 은행 송금을 통해 자금을 요청하거나 즉시 기밀 정보를 보내달라고 요청합니다.
공격은 일반적으로 예산 보유자, 재무 부서 직원 또는 민감한 정보를 잘 아는 사람과 같이 은행 송금 권한이 있는 회사 내 누군가를 대상으로 합니다. 메시지는 종종 매우 긴급하게 들리기 때문에 피해자가 생각할 시간이 없습니다.
8. 검색 엔진 피싱
이것은 합법적인 검색 엔진을 사용하는 최신 유형의 피싱 공격 중 하나입니다. 피셔는 거래, 무료 품목 및 제품 할인, 심지어 가짜 구인 제안을 제공하는 가짜 웹사이트를 만들 것입니다. 그런 다음 SEO(검색 엔진 최적화) 기술을 사용하여 합법적인 사이트에서 해당 사이트의 색인을 생성합니다.
따라서 무언가를 검색할 때 검색 엔진은 이러한 가짜 사이트를 포함하는 결과를 표시합니다. 그런 다음 로그인하거나 사이버 범죄자가 수집하는 민감한 정보를 제공하는 데 속게 됩니다.
이러한 피싱 공격자 중 일부는 고급 기술을 사용하여 검색 엔진을 조작하여 웹사이트로 트래픽을 유도하는 데 능숙해지고 있습니다.
정보를 얻고 경계하십시오
각 유형의 이름을 아는 것은 각 공격의 MO, 모드 및 채널을 이해하는 것만큼 중요하지 않습니다. 이름이 무엇인지 혼동할 필요는 없지만 메시지가 어떻게 만들어지고 공격자가 귀하에게 접근하는 데 사용하는 채널을 아는 것이 중요합니다.
또한 항상 경계를 늦추지 않고 세부 정보를 제공하도록 속이려는 사람들이 너무 많다는 것을 아는 것도 중요합니다. 회사가 공격의 대상이 될 수 있고 범죄자들이 조직에 침투할 방법을 찾고 있다는 점을 이해하십시오.
이러한 위협이 존재한다는 사실을 아는 것은 컴퓨터가 공격자의 진입점이 되는 것을 방지하기 위한 첫 번째 단계입니다. 조치를 취하기 전에 메시지의 출처를 다시 확인하는 것도 매우 중요합니다.
또한 공격자는 때때로 사용자가 원하는 것을 하도록 사람들의 두려움과 공포를 이용한다는 점을 이해해야 합니다. 따라서 위협에 직면했을 때 생각할 수 있도록 진정하는 것이 중요합니다. 그리고 프로모션 및 사은품 사기를 발견할 때 오래된 격언이 여전히 적용됩니다. 어떤 것이 사실이기에는 너무 좋게 들리면 아마도 그럴 것입니다.