Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

피싱

글로벌 칼럼 | 직원들의 온오프라인 데이터가 위험하다

많은 사람이 소셜 미디어에 일상을 공유하고 삶에 대한 주요 세부 사항을 공개하는 것을 주저하지 않는다. 하지만 온라인에서 공유하는 내용과 사이버 공격자가 이런 정보를 사용해 비즈니스를 표적으로 삼는 방법에 대해 재고할 필요가 있다. 하나의 문자 메시지가 기업의 보안 침해로 이어질 수 있기 때문이다.   공격자가 신입 직원을 표적으로 삼는 과정 한 회사에 새 인턴이 입사했다고 가정해 보자. 온보딩 과정에서 인턴은 사무실 건물 열쇠, 네트워크 로그인 및 이메일 주소를 받는다. 일반적으로 직원들은 회사 이메일 외에도 개인 이메일과 휴대폰을 보유하고 있다. 다중 인증을 사용하는 곳이라면 회사 규모에 따라 직원의 개인 휴대폰에 2단계 인증용 토큰 또는 애플리케이션을 배포하거나 업무용 휴대폰을 제공하기도 한다. 입사 후 며칠 간은 다루어야 할 여러 새로운 기술로 인해 바쁠 수 있다. 열정적인 신입 직원이 직장에 적응하고 요구에 부응하는 것은 부담스러울 뿐 아니라 스트레스를 받는 일이다. 공격자는 바로 이 시기를 악용한다. 공격자는 새로운 상사를 기쁘게 해주려는 열정적인 직원을 물색한다. 최근 필자는 공격자가 새로 입사한 환경에 적응하는 직원을 어떻게 노리는지 직접 목격했다. 이메일의 시작은 악의가 없었다. 인턴에게 마감일까지 프로젝트를 도와 달라고 요청하는 내용이었고, 현재 비공개 회의에 참석해 있으니 최대한 신속하게 처리해달라고 적혀 있었다. 이메일은 ‘가능한 한 빨리 휴대폰 번호를 알려 달라’는 내용으로 마무리됐다.   이 공격자는 어떻게 신입 직원에 대해 알게 됐을까? 비즈니스 연결에 사용하는 도구로 피싱 공격을 개인화하는 것에서 시작한다. 공격자는 링크드인 같은 사이트를 모니터링하면서 필자가 새로 고용한 회계직 인턴과 파트너가 연결된 것을 발견했고, 파트너가 인턴에게 보내는 것처럼 이메일을 작성했다. 이때 공격자는 인턴에게 문자 메시지를 보낼 수 있도록 휴대폰 번호를 알려 달라고 요청했다.  이런 이메일을 받은 것은 3번이지...

보안 피싱 우버해킹 7일 전

피싱에도 ‘부캐’ 등장…이란 해킹그룹의 새 공격 캠페인 발견돼

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가지 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일...

피싱 피싱 메일 스피어 피싱 2022.09.19

“피싱과 소프트웨어 취약점이 사이버 침해 사고 경로의 70% 차지해” 팔로알토 네트웍스 발표

팔로알토 네트웍스는 인시던트 대응을 위한 자사의 연구 조사 기관 유닛42에서 수집한 600여 개 이상의 사고 대응 사례를 샘플링 한 분석 결과를 담아 ‘2022 유닛42 인시던트 대응 보고서’를 발표했다.  이 보고서는 각 조직의 CISO 및 보안 팀에서 최우선으로 해결해야 할 보안 위협을 이해하고, 이에 대응하기 위해 자원을 전략적으로 운용할 수 있는 팁을 담고 있다.   보고서에 따르면 랜섬웨어로부터 몸값을 지불하도록 요구된 금액이 가장 높은 업종은 금융과 부동산으로, 평균 금액은 각각 평균 800만 달러, 520만 달러에 육박했다. 지난 12개월 동안 가장 빈번하게 발생한 공격 유형은 전체 인시던트 대응의 70%를 차지하는 랜섬웨어와 기업 이메일을 침해하는 ‘BEC공격(business email compromise)’ 인 것으로 조사됐다. 새로운 랜섬웨어 피해자가 4시간마다 유출 사이트에 게시되고 있다. 랜섬웨어 활동을 조기에 식별하는 것이 매우 중요한데, 일반적으로 랜섬웨어 공격자들은 파일이 암호화된 후에야 발견되고, 피해 조직에서는 그 이후에 금전 요구 액수와 지불 방법 등이 담긴 랜섬 노트를 받는다. 유닛 42는 랜섬웨어 공격 시 위협 행위자들이 표적 환경에서 탐지되기 전에 보내는 시간을 의미하는 중간 체류 기간이 28일임을 확인했다. 2022 랜섬웨어 보고서 발표 이후로도 공격 빈도와 피해 금액은 지속적으로 증가하여, 몸값 요구 금액은 3천만 달러, 실제 지불 금액은 800만 달러에 이른 것으로 조사됐다. 특히 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다. 사이버 범죄자들은 업무용 전자 메일을 타깃으로 하는 송금 사기 기법을 사용하고 있다. 피싱과 같은 소셜 엔지니어링의 형태는 발견의 위험을 낮추는 동시에 은밀한 액세스 권한을 얻을 수 있는 쉽고 비용 효율적인 방법이다. 이번 조사에 따르면, 많은 경우에 사이버 범죄자들이 무작위의 타깃에게 자격 증명을 요구하고 ...

팔로알토 네트웍스 피싱 랜섬웨어 2022.09.05

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 2022.08.17

"2022 상반기 피싱 공격서 가장 많이 사칭한 브랜드는 마이크로소프트"

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 기술 지원 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회할 때 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)’으로 ...

피싱 피싱 공격 마이크로소프트 2022.08.01

라온화이트햇, 피싱 방지 및 차단 서비스 ‘스마트안티피싱’ 출시

라온화이트햇이 피싱 사기 방지 및 차단 서비스 ‘스마트안티피싱(Smart Antiphishing)’을 출시했다. 스마트안티피싱은 라온화이트햇이 피싱 탐지 전문기업 ‘인피니그루’와 공동으로 개발한 서비스다. SMS, 메신저 앱, 음성통화 기록 등에서 발췌한 의심 키워드와 범죄자 연락처 블랙리스트, 악성 앱 설치 유도 URL 등 다양한 패턴 데이터를 수집하고, 이를 금융사의 이상금융거래탐지시스템(Fraud Detection System, 이하 ‘FDS’)으로 실시간 전송해 서비스 이용자는 물론 금융사가 직접 피싱 사기 여부를 판단하고 즉각 대응할 수 있도록 한 것이 특징이다.   기존에는 금융사에서 이용자의 거래 데이터만으로 피싱 사기 여부를 판별하기 힘들어 적극적인 피해 예방이 어려웠으나, 스마트안티피싱을 통해 금융사에서도 피싱 범죄에 대한 공동 대응이 가능해져 피싱 사기 피해를 크게 줄일 수 있을 것으로 업체 측은 기대하고 있다. 스마트안티피싱은 먼저 ▲SMS, 메신저 등에서 저금리 대출 안내, 사기 결제 등의 키워드 ▲악성앱 설치를 유도하는 URL ▲원격제어 또는 전화 가로채기 등을 실행하는 악성 앱의 설치 및 구동에 대한 이상징후 ▲보이스피싱 범죄자와의 통화에서 감지되는 사기 의심 음성 키워드 및 패턴 등이 포착되는 즉시 이용자에게 팝업 알람을 제공해 피해를 방지한다.  이용자가 피싱 사기를 미처 인지하는 못하더라도 ‘스마트안티피싱’을 통해 수집한 피싱 사기 관련 데이터를 주거래 금융사의 FDS에 즉각 공유해 금융사 차원에서 콜센터를 통한 안내, 통화 강제 종료, 이체 및 대출 실행 차단 등의 적극적인 조치를 취함으로써 2차 피해 예방이 가능하다. 또한, ‘돌봄이’ 기능을 통해 사전에 지정한 가족 또는 지인에게도 피싱 사기 여부를 통보하고 사용자의 통화를 강제로 종료할 수 있는 권한을 부여함으로써 사용자 본인, 금융사, 가족 및 지인까지 단계별로 대응할 수 있도록 해 피싱 사기를 원천 차단한다. 이외에도, 서비스 이용 중에 발생...

라온화이트햇 피싱 2022.06.30

"심각한 공격 위험의 50%, 경영진ㆍ관리자가 목표"

프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 업체의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.    내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절한 프로토콜이 무엇인지, 어떤 데이터가 접근 가능한지(또는 접근할 수 없는지), 어떤 채널을 사용해야 적절한지 불확실성이 컸다”라고 설명했다.   ...

프루프포인트 위협 행위자 휴먼팩터 2022.06.15

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

“기술만으로는 방어하기 어렵다” 스피어 피싱의 모든 것

스피어 피싱(Spear Phishing)은 신뢰할 수 있는 발신자가 보낸 것으로 가장하는 표적화 된 이메일 공격이다. 공격자는 수신자를 안심시키기 위해 검색으로 얻은 정보를 사용하는 경우가 많다. 궁극적인 목적은 수신자가 링크를 클릭하거나 첨부파일을 다운로드하도록 유도해 기기를 악성코드에 감염시키거나, 수신인이 정보나 돈을 넘기는 등 공격자에게 도움이 되는 행동을 취하도록 속이는 것이다. 스피어 피싱 메시지는 치명적인 소셜 엔지니어링 기법을 사용해 신중하게 작성되며, 단순한 기술적 수단으로는 방어하기 어렵다.   보안관제 서비스 공급업체(MSSP) 뉴스파이어(Nuspire)의 CSO J.R 커닝햄은 “스피어 피싱에서 중요한 것은 스피어 피싱을 당하는 사람이 실제 표적이 아닌 경우가 많다는 것이다. 피해자가 접속하는 기업 환경이 최종 목표일 가능성이 가장 높다”라고 말했다. 피싱 vs. 스피어 피싱 vs. 웨일링 피싱, 스피어 피싱, 웨일링(Whaling)은 모두 이메일 공격 유형이다. 피싱은 이메일 또는 기타 전자 메시지를 사용해 표적을 속이는 광범위한 카테고리이며, 스피어 피싱과 웨일링은 피싱의 2가지 공격 유형이다. 대부분 피싱 공격은 수천 명의 수신자에게 자동으로 전송되는 포괄적인 메시지의 형태를 띤다. 첨부파일명이 ‘급여 명세서’라던지 가짜 복권 당첨 사이트로 연결되는 링크가 포함되어 있는 등 꽤 유혹적으로 작성되어 있다. 메시지 내용이 특정 사람에게 특화된 것은 아니다. ‘피싱(phishing)’이라는 용어는 ‘낚시(fishing)’에서 파생됐다(‘ph’로 바꾼 것은 엉뚱한 스펠링을 붙이는 해커들의 전통과도 같다). 미끼가 걸린 낚시 바늘(피싱 이메일)을 던지고 피해자가 물기를 기다리는 것을 비유했다. 스피어 피싱은 그 이름에서 알 수 있듯이 ‘특정’ 물고기를 잡으려고 시도하는 것이다. 스피어 피싱 이메일에는 공격자가 원하는 행동을 유도하기 위한 구체적인 정보가 포함돼 있다. 수신자의 이름부터 시작해 공격자가 다양한 소스에서 얻을 수...

스피어피싱 보안상식 피싱 2022.04.12

"피싱, SNS˙클라우드 넘어 금융으로 확대”

베이드(Vade)의 연간 피싱 보고서에 따르면, 메타는 작년 피셔가 가장 많이 사칭한 20곳 기업 중 1위로 전체 피싱 페이지의 14%에 달한다. 13%를 차지한 마이크로소프트가 2위에 올랐다. 베이드는 피싱과 악성코드, 스피어피싱, 스팸에 대한 이메일 필터링 서비스를 제공하는 기업이다. 베이드 최고 제품 책임자 아드리안 젠드레는 “피싱은 여전히 전 세계 기업에 가장 큰 위협이다. 피셔를 더 이상 독립된 해커가 아닌, 조직화된 해킹 그룹의 일원으로 예의 주시해야 한다”라고 경고했다.     사용자를 속이는 가짜 보안 경고와 비밀번호 재설정 펜데믹이 지속되는 가운데, 최근 메타로 사명을 바꾼 페이스북은 활성 사용자가 29억 명이 넘을 정도로 큰 관심을 받고 있다. 이로 인해 소셜 미디어 대기업인 메타는 피싱 공격의 주요 표적이 됐다. 메타 피싱은 일반적으로 합법적인 웹사이트를 가장해 사용자 자격 증명을 탈취하도록 설계된 피싱 페이지로 리디렉션하는 가짜 보안 경고 및 비밀번호 재설정 요구를 포함한다. 메타는 2년 전 2번째로 가장 많이 피싱에 사용됐다. 올해 피싱 대상 브랜드 2위인 마이크로소프트는 가장 많이 사칭된 클라우드 서비스 업체이다. 마이크로소프트를 사칭한 피싱은 이메일만 사용한 이전 피싱 수법과 달리 여러가지 정교한 공격을 실행했다. 새로운 피싱 전략은 마이크로소프트 로고와 피싱 링크 그 이상을 사용하며, 공격은 매우 표적화 및 자동화됐다. 이번 보고서는 매우 표적화된 마이크로소프트 365 피싱 페이지에 기업 로고와 배경 이미지를 자동으로 렌더링하는 공격을 강조했다. 젠드레는 “보고서에서 강조한 공격은 피해자가 피싱 링크를 클릭했을 경우에만 활성화되도록 설계된다. 예를 들어, 해커가 노리지 않은 사용자가 피싱 링크를 클릭하면 피싱 페이지가 실행되지 않으며, 안전한 페이지로 이동한다”라고 말했다. 이런 작업은 해커가 사용자의 이메일 주소로 마이크로소프트에 API를 호출해 사용자 신원을 확인하는 방식으로 이뤄진다. 사용자 신원이...

피싱 사칭 보안 2022.03.08

토픽 브리핑 | 사이버 공격의 시작 "피싱"과 대응 방안

코로나 19 시대를 보내면서 기업의 취약점과 제로데이에 대한 대응이 많이 향상됐다. 그 결과 공격자는 피싱(Phishing) 공격을 통한 사용자를 노리는 방법으로 전환했다. 한 기업의 보안은 가장 약한 고리의 세기만큼 강하다. 일반적으로 가장 약한 고리는 바로 인간, 사용자와 관련이 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 데이터 유출과 관련된 가장 많은 위협 활동으로 나타났다.    피싱은 위조된 이메일을 무기로 사용하는 사이버 공격이다. 피싱의 목표는 이메일 수신자가 그 메시지를 자신에게 필요한, 또는 자신이 원하는 메시지로 여기게끔 속이는 것이다. 예를 들어 은행에서 발신한 정보 요청 메일, 회사 내의 동료가 보낸 메시지라고 생각해 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도한다. 대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법 ‘문자 메시지를 통한 피싱’ 스미싱의 정의와 이를 막는 방법 피싱은 공격 기술 측면에서 낮은 편에 속한다. 물론 집중적이고 개인화된 피싱 공격인 스피어피싱(spear phishing)이나 고위급 또는 고액의 목표물에 초점을 맞춘 피싱 공격인 웨일링(whaling)과 같은 훨씬 더 정교한 피싱 변종 공격도 있지만, 이 공격들은 기술보다는 소셜 엔지니어링에 초점을 맞추고 있다.  표적화된 이메일 공격을 멈추기가 어려운 이유 "스피어 피싱의 이해" 민감한 데이터 보유한 고위 임원, 피싱·랜섬웨어의 새로운 '먹잇감' "피싱 성공 후 2시간 만에 네트워크에 칩입" 카바낙의 해킹 운영방법…비트디펜더 그러나 피싱은 많은 네트워크와 엔드포인트 보호 솔루션을 우회하기 때문에 가장 효과적인 공격 유형 가운데 하나다. 피싱의 가장 큰 특징은 메시지의 형식이다. 공격자는 수신자가 신뢰하는 주체 또는 실존 인물이나 실제 있을 법한 인물, 또는 거래 협력업체를 가장한다. 피싱은 1990년 대부터 시작된 가장 오래된 사이버 공격 형태 가운데 하나인데, 최근 피싱 메시...

피싱 스미싱 스피어피싱 2021.06.11

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

온라인 사기를 판별하는 방법 : 3가지 결정적 증거

악당들이 사람을 속이는 온갖 방법을 충분히 숙지하고 있다 해도, 온라인 사기에 걸려들기는 생각 이상으로 쉽다. 공격자는 충분히 많은 사람에게 사기 이메일을 보내면 속기에 딱 알맞은 조합을 갖춘 사람, 즉 일상에 쫓겨 주의가 산만한 동시에 온라인 계정에 대해 신경을 쓰는 사람을 최소한 몇 명이라도 찾게 된다.    필자가 온라인 사기에 거의 속아넘어갔던 일도 이런 경우에 해당됐다. 신용카드 대금 결제일이 다가오고 있었지만, 그 당시에 무척 바빴기 때문에 카드 대금 결제는 마음 속을 떠도는 수많은 일의 하나일 뿐이었다. 그러다가 갑자기 로그인하지 않으면 은행이 내 계좌를 잠글 것이라는 내용의 이메일을 받았다. 필자는 “이런! 결제일이 지났구나”라고 생각했다. 필자는 은행을 방문할 때 URL을 직접 입력하는 것이 최선임을 알고 있었음에도 아무 생각 없이 이메일의 링크를 클릭했다. 그렇게 해서 로그인 정보를 입력하려는 순간, 갑자기 뭔가 이상하다는 생각이 들어 행동을 멈췄다. 웹사이트 주소를 확인했더니 은행 로그인 정보를 수확하기 위해 만들어진 가짜 웹사이트였다. 간발의 차이로 계좌 정보를 입력하지 않았지만 아슬아슬했다. 피싱에 거의 걸려든 것이다. 이와 같은 종류의 수법에 대해 기사를 쓴 적이 있다는 사실이 무색했다. 심지어 필자는 이메일 내의 은행 링크를 절대 클릭하지 말아야 한다는 내용의 보안 팁 기사도 여러 건 썼다. 심리적으로 취약한 순간에 당하는 온라인 사기에는 누구나 속아넘어갈 수 있다. 하지만 미리 대비하면 온라인 사기를 판별하기는 사실 어렵지 않다. 잘 준비하면 여러 이유로 온라인 사기에 취약해지는 순간이 오더라도 냉철하게 스스로를 지킬 수 있을 것이다. 악당의 손아귀에서 자신과 온라인 계정을 안전하게 보호하기 위해 적용할 수 있는 기본적인 규칙을 소개한다.   규칙 1: 예상한 것이 아니라면 의심하라 온라인 사기의 전형적인 수법은 링크 클릭을 유도하는 것이다. 링크는 이메일에 포함될 수도 있고, 하이재킹된 친구의...

온라인사기 피싱 스캠 2021.05.03

“피싱 키트란 무엇인가” 피싱 공격의 구성 요소와 사용자가 대처하는 방법

피싱 키트(phishing kits)의 개념은 보안과 관련한 사람이 아니라면 다소 어려울 수 있다. 이번 기사는 피싱 키트에 대한 간략한 개요와 작동 방식, 그리고 이에 대처하는 방법에 대해 설명한다.    피싱(Phishing)은 소셜 엔지니어링 공격과 직접적으로 관련이 있다. 일반적으로 이메일을 중심으로 하는 범죄자들은 피싱을 사용해 접근권한이나 정보를 얻는다. 피싱 공격은 피해자와 피해 기업에 맞게 맞춤화될 수 있다.  피해자에게 직접 초점을 맞춘 피싱 공격을 스피어 피싱(spear phishing)이라고 한다. 예를 들어, 범죄자가 회사 내 그룹이나 사람을 표적으로 삼는 경우, 스피어 피싱을 사용해 이메일을 합법적으로 보이게 만든다. 보통 피해자의 정확한 이름과 직함을 사용하거나 합법적인 프로젝트, 알려진 동료를 언급하거나 고위 경영진의 이메일을 스푸핑(spoofing)해 수행한다.  비싱(Vishing, 보이스 피싱)은 전화를 통한 피싱에 부여되는 용어다. 동일한 목표, 동일한 감정적 촉발, 이메일 대신 범죄자가 피해자에게 직접 전화를 건다. 일반적인 비싱 공격의 예로는 IRS 사기 및 기술 지원 사기가 있다. 2가지 경우, 모두 범죄자들은 개인정보와 돈을 얻기를 바라고 있다.  어떤 유형의 피싱 공격이 시작되든 목표는 피해자가 사용자 이름과 비밀번호를 공개하거나, 문서 및 기타 중요한 세부 정보를 공유하는 등의 작업을 수행하도록 하는 것이다.  피싱 공격은 일반적으로 긴급성을 강조하거나 기꺼이 도와주려는 의지에 따라 행해진다. 피싱 공격은 심각한 결과를 경고함으로써 두려움을 불러일으킬 수 있다. 때로는 일시 중지된 서비스, 중요한 데이터 손실 또는 다양한 개인적 결과에 대한 위협일 수도 있다. 그러나 일반적으로 피싱 공격은 피해자의 호기심을 자극함으로써 시작된다는 것이다. 어떡해든 피해자가 이메일을 열게 만드는 것, 그것이 피싱의 시작이다.  피싱 키트란 무엇인가? ...

피싱키트 피싱 소셜엔지니어링 2021.04.02

민감한 데이터 보유한 고위 임원, 피싱·랜섬웨어의 새로운 '먹잇감'

랜섬웨어가 한낱 범죄자의 취미나 여가생활이라고 생각하는 사람은 자신의 그리고 조직의 위험 관리 전략을 재고해야 한다. 5년 전쯤의 랜섬웨어 공격자는 우연히 찾은 이메일 주소로 광범위하게 미끼를 뿌리고 누군가 걸려들기를 기다리는 피싱 공격으로 웨어(Ware)를 보냈다. 이 소프트웨어는 단순한 가족 사진이나 민감한 비즈니스 문서 같은 피해자의 파일을 찾아냈다. 하지만 이런 시대는 이제 끝났다. 더욱 복잡해진 랜섬웨어 2.0의 시대에 온 것을 환영한다.   오늘날의 랜섬웨어 활동은 훨씬 더 전략적이다. R이블(REvil, 소디노키비(Sodinokibi)라고도 함)과 네트워커(Netwalker) 등의 그룹은 점차 정교한 맬웨어를 작성한 후 제휴 그룹에 코드 액세스 권한을 부여하고, 이 그룹은 복잡한 기법을 사용하여 잠재적인 피해를 찾아 감염시킨다. 이 그룹은 현재 특정한 기업을 공격 대상으로 삼고 있다. 대기업도 피해자 목록에 있지만, 랜섬웨어 완화 기업 코브웨어(Coveware)는 중소기업 역시 랜섬웨어 범죄자들의 일반적인 표적이라는 사실을 발견했다. 랜섬웨어 공격자는 피해자들과 소통할 때 전통적인 지능형 지속 공격(Advanced Persistent Threat, APT) 그룹과 연관 있는 공격 체인을 사용한다. 여기에는 표적을 파악하기 위한 고급 정찰 기법이 포함되며, 표적의 약점을 공격하기 위해 정교하게 구성된 맬웨어 공격이 뒤따른다. 이런 공격은 더 많은 시간과 노력이 들지만 범죄자가 얻는 보상도 커진다. 기업이 손실된 데이터 복구를 위해 몸값을 지불하는 방법밖에 없는 상황에서 정밀 모델은 몸값의 크기와 피해 규모를 모두 키웠다. 코브웨어는 2020년 3/4분기에 평균 대가 지불액이 직전 분기 대비 31% 이상 증가한 23만 3,000달러에 달했다고 밝혔다. 암호화폐 포렌식 기업 체인어낼리시스(Chainanalysis)도 2020년에 암호화폐를 사용한 대가 지불이 전체적으로 311%나 증가했다고 밝혔다.   몸값 비싼 랜섬웨어,...

피싱 랜섬 멜웨어 2021.03.02

효과적인 피싱 공격 시뮬레이션을 준비하는 방법

지난 한 해 동안 취약점과 제로데이에 대한 중소 기업의 대응은 많이 향상됐다. 그 결과 공격자는 운영체제를 통해 공격하는 대신 원격 제어 툴, 컨설턴트로 공격 대상을 바꿨고, 무엇보다 피싱 공격을 통해 사용자를 노리는 방법으로 전환했다.   기업도 피싱 시뮬레이션(phishing simulations)을 사용한 '사람 패치(patch the human)'로 대처했다. 그러나 피싱 시뮬레이션은 많은 경우 효과가 떨어지고 비윤리적이기도 하다. 최근 고대디(GoDaddy)는 7,000명 이상의 직원들에게 피싱 시뮬레이션을 전송했다. 이 피싱 시뮬레이션 이메일은 회사 측에서 크리스마스 보너스로 650달러를 지급한다면서 직원들에게 개인정보 입력을 요구했는데, 500명에 가까운 직원들이 걸려들었다. 이 피싱 시뮬레이션은 대중의 비난을 촉발했고 내용도 팬데믹 시기의 경제적 어려움에 대한 감수성이 부족하다는 지적을 받았다. 결국 고대디 측은 몰이해한 테스트 과정에 대해 직원들에게 사과했다. 직원 교육은 시스템을 안전하게 유지하는 데 도움이 되지만 피싱 미끼는 외부적인 문제를 의식해야 하며, 설계 초점도 수치심 유발이 아닌 직원 교육에 있어야 한다. 이들이 테스트에 통과하지 못한다면 기업이 직원 교육과 보호에 실패했다는 의미이기 때문이다. 효과적인 교육이 되려면 대중의 관심을 끄는, 사고를 촉발하는 이벤트가 아니라 지속적인 강화 기법이 되어야 한다. 피싱 시뮬레이션 캠페인은 사용자를 적절히 준비시키지 못하면 효과를 거둘 수 없다. 직원을 테스트하기 전에 가르치거나 제공해야 할 것을 살펴보자. 공격자의 수법과 동기 설명 테스트를 실행하기 전에 공격자는 특정 주제와 행동을 기반으로 사용자를 공격한다는 점을 교육해야 한다. 공격자는 사람들이 어떤 정보를 원하는지를 안다. 예를 들어 2020년 초부터 공격자는 세계보건기구의 정보를 사칭하거나 개인보호 장비를 제공한다는 식의 코로나19를 테마로 한 피싱 미끼를 활용하기 시작했다. 이후 공격자는 BLM(Black L...

피싱 피싱시뮬레이션 2021.01.22

공격자가 호스팅 서비스를 악용하는 방법에서 관리자가 알아야 할 것

경험이 풍부한 IT 전문가는 주로 순진한 일반 사용자를 속여 수익을 얻는 온라인 사기꾼에게 당하는 일이 거의 없을 것 같다. 그러나 사이버 공격자 가운데 상당수는 가상 서버 관리자와 이들이 관리하는 서비스를 노린다. 관리자가 알고 있어야 할 사기와 악용 방법에 대해 알아보자.   표적화된 피싱 이메일 모닝 커피를 마시면서 노트북을 열고 이메일 클라이언트를 실행한다. 일상적인 메시지 가운데서 호스팅 업체가 보낸 호스팅 요금 결제 할인을 알리는 이메일이 눈에 띈다. 연말연시라서, 또는 다른 이유로 지금 결제하면 대폭 할인을 해준다는 내용이다. 이메일의 링크를 클릭해 들어간다. 운이 좋다면 이쯤에서 뭔가 이상하다는 것을 눈치챈다. 이메일에는 이상한 점이 없다. 호스팅 제공업체가 이전에 보낸 공식 메시지와 똑같이 보인다. 사용된 글꼴도 똑같고 발송자의 주소도 정확하다. 개인정보보호 정책을 안내하는 링크, 개인 데이터 처리 규칙을 비롯해 아무도 읽지 않는 부분까지 모두 제자리에 정확히 있다. 그러나 관리자 패널 URL이 실제 URL과 조금 다르고 SSL 인증서에 몇 가지 의심스러운 부분이 있다. 아, 이게 바로 피싱인가? 가짜 관리자 패널을 사용해 로그인 인증 정보를 가로채는 이와 같은 공격이 최근 부쩍 늘었다. 고객 데이터를 유출한 서비스 제공업체를 비난하고 싶겠지만 성급한 결론은 금물이다. 의지가 확고한 사이버 범죄자가 특정 업체에서 호스팅하는 웹사이트의 관리자에 대한 정보를 얻기는 그다지 어렵지 않다. 공격자는 서비스 제공업체의 웹사이트에 등록하기만 하면 이메일 템플릿을 입수할 수 있다. 또한 많은 업체가 평가 기간을 제공한다. 이후 공격자는 HTML 편집기를 사용해 이메일 내용을 원하는 대로 변경할 수 있다. 특정 호스팅 제공업체가 사용하는 IP 주소 범위를 알아내기도 어렵지 않다. IP 주소 범위를 확인하기 위한 목적으로 만들어진 서비스가 많다. 그러면 공유된 호스팅의 각 IP 주소에 대한 모든 웹사이트 목록을 얻는 것도 가능하다. 클라...

호스팅 피싱 CMS 2021.01.13

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.