Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

피싱

와츠앱 사용자 전화번호 5억 개, 다크웹 매물로…소셜 엔지니어링 등 우려

4억 8,700만 건의 와츠앱 사용자 휴대전화 번호 데이터베이스가 해킹 커뮤니티인 브리치드(Breached.vc)에서 판매된 것이 뒤늦게 알려졌다. 보안 미디어 사이버뉴스(Cybernews)는 이 데이터 세트에는 84개국 이상의 와츠앱 사용자 정보가 담겨 있다고 보도했다. 와츠앱에서 유출된 데이터의 판매자는 메신저 앱 텔레그램으로도 데이터를 판매하고 있다. 텔레그램 사용자 혹은 그룹명 Palm Yunn 채널에서 판매하는데, 해킹 커뮤니티에서 이 사용자는 Agency123456으로 불리기도 한다. 판매자는 유출 데이터가 2022년 습득한 최신 데이터라고 강조했다.   메타 소유인 와츠앱은 전 세계 활성 사용자가 20억 명에 달하는 거대 메신저 앱이다. 브리치드에서 판매된 데이터가 모두 진본이라면 전체 와츠앱 사용자의 1/4에 가까운 데이터가 유출된 셈이다. 사이버뉴스가 입수한 영국 사용자 1,097명, 미국 사용자 817명의 ‘샘플’ 데이터는 조사 기관이 유효하다고 확인한 상태다. 데이터 출처는 확인할 수 없었고, 와츠앱은 유출된 데이터라는 증거가 없다고 주장했다. 와츠앱 대변인은 이메일을 통해 “사이버뉴스 기사에 실린 스크린샷은 입증되지 않았고 와츠앱에서 유출된 데이터라는 증거가 없다”라고 밝혔다.   와츠앱 데이터가 사기에 악용될 가능성 그럼에도 사이버보안 전문가는 개인 데이터가 피싱, 스미싱, 사기 사건에 악용될 확률이 있다고 경고했다. 사이버보안과 개인정보 정책 변호사 프라샨트 말리는 “위협 단체 등이 사용자 개인 휴대전화 번호를 피싱 사기에 악용할 위험이 있다. 전화번호가 은행 계좌와 연동된 경우에도 금전적 피해로 이어질 수 있다”라고 경고했다. 핑세이프(PingSafe) 설립자이자 버그 바운티 전문가 아난드 프라카쉬 역시 유출된 개인 전화번호가 소셜 엔지니어링에 악용될 것을 우려했다. 그러나 프라카쉬는 유출 데이터세트 자체에는 민감한 정보가 없다며 “다른 사람이 메시지를 읽거나 원격으로 와츠앱에 접속할 수 있는 수준의 아주 ...

와츠앱 다크웹 텔레그램 7일 전

"결제 취소하려면 전화 주세요" 더 고도화되는 '콜백 피싱' 사기

팔로알토 유닛42 보안 연구팀이 루나 모트(Luna Moth) 해킹그룹의 콜백 피싱 갈취 수법과 관련된 여러 사건을 조사한 결과를 발표했다. 이들은 법률과 소매업과 같은 다양한 분야의 기업을 겨냥했다. 분석 결과 해커는 악성코드 기반 암호화 없이 데이터를 갈취한다는 사실이 밝혀졌다. 연구팀에 따르면 루나 모트 해킹 그룹은 콜센터와 같은 주요 인프라를 집중적으로 노렸으며, 점점 전술을 고도화하고 있다. 피해자는 수백만 달러의 비용을 치러야 했고 갈수록 그 범위가 확장되고 있다.     콜백 피싱(callback phishing)은 사회 공학(social engineering) 공격 수법이다. 유닛 42 연구진은 콜백 피싱이 스크립트 기반 공격보다 자원을 많이 사용하지만 덜 복잡하며 성공률도 더 높은 편이라고 설명했다. 기존 해킹은 피해자가 악성코드를 다운받도록 유도한다. 가령 콘티 랜섬웨어 그룹과 연계된 사이버 공격집단은 피해자가 '바자르로더(BazarLoader)'라는 악성코드를 내려받도록 했다.  이렇듯 악성코드는 기존 콜백 피싱 공격에서 빠질 수 없는 요소다. 하지만 이번 유닛42가 조사한 해킹 수법에서 루나 모트 해킹 그룹은 악성코드를 이용하지 않았다. 대신, 합법적이고 신뢰할 수 있는 시스템 관리 도구를 사용해 피해자와 직접 소통했다. 연구진은 "이러한 도구는 특성상 악의적이지 않아 기존 바이러스 백신 제품이 감지하기 어려울 것"이라고 설명했다.    가짜 구독 청구 영수증  이 수법의 초기 유인책은 PDF 영수증이 첨부된 피싱 이메일이다. 수신자의 신용 카드로 구독 서비스가 청구됐다고 알린다. 청구액은 보통 1,000달러 이하의 금액으로, 피해자의 관심을 끌 수 있을만한 액수로 책정된다. 이메일은 수신자의 개인 정보에 맞춰 작성되며, 합법적인 이메일 서비스를 통해 전송된다. 이는 곧 이메일 보호 플랫폼에서 악성 메일을 미리 탐지하기 어렵다는 의미다.   유닛42...

콜백피싱 랜섬웨어 피싱 2022.11.23

"뒷문보다 앞문 단속" 더 정교해지는 피싱 공격 막는 법

데이터 침해, 랜섬웨어, 금융 사기를 비롯한 보안 사고가 2022년 내내 기록적인 수준을 달성했다. 맬웨어 공격의 수가 계속 증가하고 있다. 영국 IT 거버넌스(IT Governance)에서 발표한 최신 보고서에 의하면 2022년 8월 미국, 영국, 유럽, 남미 및 기타 지역에서 공개된 112건의 보안 사고를 조사한 결과 이러한 보안 침해로 총 9,745만 6,345건의 기록이 손상됐다.  2022년에 공개된 맬웨어 공격은 기업에 수백만 달러의 손실을 입히고 있다. 통계청에 따르면 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 있었다. 그리고 해커 역시 피싱 캠페인을 활용해 공격을 시작할 직원 자격증명 액세스 권한을 얻고 있다.    사회 공학 다양한 해킹 전술이 있지만 사회 공학은 모든 CSO의 증가하는 위협 목록 최상위에 있어야 한다. 이런 해킹에는 스팸 링크가 있는 은행의 가짜 메시지부터 의심스러운 페이스북 쪽지, 기업 시스템에 액세스하기 위해 직원의 자격증명을 피싱하는 악의적 행위자까지 모든 것이 포함될 수 있다.  해커가 기업 시스템에 액세스하는 가장 쉬운 방법은 의심하지 않는 직원을 속이고 또 속이는 것이다. 의심하지 않는 직원을 찾아 자격증명에 액세스하고, 기업 시스템에 침입할 수 있는 열쇠를 훔친다. 뒷문을 따는 것보다 앞문 열쇠로 들어가는 것이 쉬운 법이다.  따라서 개인의 신원을 확인하고 사용자 이름, 비밀번호, 보안 질문에 답하는 기존의 방식을 탈피해 더 현대적이고 안전한 방법을 도입해야 한다.  우버, 트윌리오, 메일침프 해킹 사건 모든 기업은 데이터 침해 또는 보안 침해의 위협에 처해 있다. 지난 여름 우버에서는 한 해커가 우버 직원의 자격증명을 소셜 엔지니어링하여 내부 우버 인트라넷, 회사 슬랙 시스템, 구글 워크스페이스 관리자, 우버의 AWS 계정, 재무 대시보드 등에 액세스하는 일이 발생했다.  또 2022년 초 보안업체 그...

피싱 피싱 공격 사회 공학 2022.10.28

내부 감사가 작동하면 사이버 사기 위험도 줄어든다

사이버 사기 공격 위험이 점차 증가하는 현대 환경에서 내부 감사자는 어떤 조치를 취할 수 있을까? IT 부서라면 이미 사이버 사기를 겨냥한 내부 통제와 탐지 툴을 사용하고 있겠지만, 내부 감사 부서의 담당자도 사이버 사기 리스크 관리를 지원할 수 있다. 국제 감사 재단(Internal Audit Foundation, IIA)과 미국 컨설팅 업체 크롤(Kroll)이 공동으로 실시한 설문조사에 따르면, 사기 리스크가 증가하면서 내부 감사자의 36%는 내부 관리에, 29%는 데이터 분석에 더 많은 자원을 투입한 것으로 나타났다. IIA CEO 앤서니 퍼글리시는 보도 자료를 통해 "기업이 신기술 투자를 늘리고 있는 상황에서 독립적 내부 감사 기능으로 내부 통제와 리스크 관리 체계를 보장할 경우 사이버 사기 위험이 줄어든다는 사실이 명확하게 나타났다”라고 밝혔다. 내부 감사 부서가 사이버 사기 위험을 줄이는 몇 가지 단계를 상세히 살펴보자. 다른 부서와의 협력을 통한 사기 리스크 평가에서 전체 데이터 세트를 테스트하는 데이터 분석 툴 활용에 이르기까지 내부 감사자의 역할은 매우 다양하다.   리스크 환경 평가 사기 행위에 대한 내부 통제를 개선하고 전반적인 리스크를 줄이고자 하는 내부 감사자가 거쳐야 하는 첫 번째 단계 중 하나는 어떤 위협이 존재하는지를 이해하는 것이다. 식별된 주요 위협 요소와 취약한 영역에 따라 실행 계획은 달라진다. 기업 리스크 관리 팀 등 다른 부서와 협력하고 IT 감사 활동을 수행하면, 기업이 피싱 공격에 얼마나 많이 노출되어 있는지를 알게 된다. 실제 사이버 공격을 식별하지는 못했으나 직원 개인 디바이스 사용이 늘어나 위험이 심각해졌음을 알게 되기도 한다. 다른 부서의 리더와 직원 관행에 대해 이야기하면서 인사이트를 얻는 방법도 있다. 어떤 경우에든, 기본 토대를 마련하고 미래에 발생할 새로운 위협을 위협을 고려하여 보다 잘 대비하는 것이 좋다. 고위 경영진으로부터 새로운 사기 모니터링 시스템이나 사기 방지 서비스를 구현하...

팀메이트 감사소프트웨어 사이버사기 2022.10.11

글로벌 칼럼 | 직원들의 온오프라인 데이터가 위험하다

많은 사람이 소셜 미디어에 일상을 공유하고 삶에 대한 주요 세부 사항을 공개하는 것을 주저하지 않는다. 하지만 온라인에서 공유하는 내용과 사이버 공격자가 이런 정보를 사용해 비즈니스를 표적으로 삼는 방법에 대해 재고할 필요가 있다. 하나의 문자 메시지가 기업의 보안 침해로 이어질 수 있기 때문이다.   공격자가 신입 직원을 표적으로 삼는 과정 한 회사에 새 인턴이 입사했다고 가정해 보자. 온보딩 과정에서 인턴은 사무실 건물 열쇠, 네트워크 로그인 및 이메일 주소를 받는다. 일반적으로 직원들은 회사 이메일 외에도 개인 이메일과 휴대폰을 보유하고 있다. 다중 인증을 사용하는 곳이라면 회사 규모에 따라 직원의 개인 휴대폰에 2단계 인증용 토큰 또는 애플리케이션을 배포하거나 업무용 휴대폰을 제공하기도 한다. 입사 후 며칠 간은 다루어야 할 여러 새로운 기술로 인해 바쁠 수 있다. 열정적인 신입 직원이 직장에 적응하고 요구에 부응하는 것은 부담스러울 뿐 아니라 스트레스를 받는 일이다. 공격자는 바로 이 시기를 악용한다. 공격자는 새로운 상사를 기쁘게 해주려는 열정적인 직원을 물색한다. 최근 필자는 공격자가 새로 입사한 환경에 적응하는 직원을 어떻게 노리는지 직접 목격했다. 이메일의 시작은 악의가 없었다. 인턴에게 마감일까지 프로젝트를 도와 달라고 요청하는 내용이었고, 현재 비공개 회의에 참석해 있으니 최대한 신속하게 처리해달라고 적혀 있었다. 이메일은 ‘가능한 한 빨리 휴대폰 번호를 알려 달라’는 내용으로 마무리됐다.   이 공격자는 어떻게 신입 직원에 대해 알게 됐을까? 비즈니스 연결에 사용하는 도구로 피싱 공격을 개인화하는 것에서 시작한다. 공격자는 링크드인 같은 사이트를 모니터링하면서 필자가 새로 고용한 회계직 인턴과 파트너가 연결된 것을 발견했고, 파트너가 인턴에게 보내는 것처럼 이메일을 작성했다. 이때 공격자는 인턴에게 문자 메시지를 보낼 수 있도록 휴대폰 번호를 알려 달라고 요청했다.  이런 이메일을 받은 것은 3번이지...

보안 피싱 우버해킹 2022.09.29

피싱에도 ‘부캐’ 등장…이란 해킹그룹의 새 공격 캠페인 발견돼

이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가지 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다.  프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다.  프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다.    ‘멀티-페르소나’ 사칭의 작동 방식 프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다.  예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다.  여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일...

피싱 피싱 메일 스피어 피싱 2022.09.19

“피싱과 소프트웨어 취약점이 사이버 침해 사고 경로의 70% 차지해” 팔로알토 네트웍스 발표

팔로알토 네트웍스는 인시던트 대응을 위한 자사의 연구 조사 기관 유닛42에서 수집한 600여 개 이상의 사고 대응 사례를 샘플링 한 분석 결과를 담아 ‘2022 유닛42 인시던트 대응 보고서’를 발표했다.  이 보고서는 각 조직의 CISO 및 보안 팀에서 최우선으로 해결해야 할 보안 위협을 이해하고, 이에 대응하기 위해 자원을 전략적으로 운용할 수 있는 팁을 담고 있다.   보고서에 따르면 랜섬웨어로부터 몸값을 지불하도록 요구된 금액이 가장 높은 업종은 금융과 부동산으로, 평균 금액은 각각 평균 800만 달러, 520만 달러에 육박했다. 지난 12개월 동안 가장 빈번하게 발생한 공격 유형은 전체 인시던트 대응의 70%를 차지하는 랜섬웨어와 기업 이메일을 침해하는 ‘BEC공격(business email compromise)’ 인 것으로 조사됐다. 새로운 랜섬웨어 피해자가 4시간마다 유출 사이트에 게시되고 있다. 랜섬웨어 활동을 조기에 식별하는 것이 매우 중요한데, 일반적으로 랜섬웨어 공격자들은 파일이 암호화된 후에야 발견되고, 피해 조직에서는 그 이후에 금전 요구 액수와 지불 방법 등이 담긴 랜섬 노트를 받는다. 유닛 42는 랜섬웨어 공격 시 위협 행위자들이 표적 환경에서 탐지되기 전에 보내는 시간을 의미하는 중간 체류 기간이 28일임을 확인했다. 2022 랜섬웨어 보고서 발표 이후로도 공격 빈도와 피해 금액은 지속적으로 증가하여, 몸값 요구 금액은 3천만 달러, 실제 지불 금액은 800만 달러에 이른 것으로 조사됐다. 특히 몸값을 지불하지 않을 경우 민감한 정보를 공개하겠다고 위협하는 이중 갈취 수법이 지속적으로 늘어나고 있다. 사이버 범죄자들은 업무용 전자 메일을 타깃으로 하는 송금 사기 기법을 사용하고 있다. 피싱과 같은 소셜 엔지니어링의 형태는 발견의 위험을 낮추는 동시에 은밀한 액세스 권한을 얻을 수 있는 쉽고 비용 효율적인 방법이다. 이번 조사에 따르면, 많은 경우에 사이버 범죄자들이 무작위의 타깃에게 자격 증명을 요구하고 ...

팔로알토 네트웍스 피싱 랜섬웨어 2022.09.05

“구글 계정이 침입 통로” 시스코 해킹 사고의 전모

엔비디아와 마이크로소프트, 유비소프트, 삼성, 보다폰에 이어 시스코가 유명 IT 업체의 해킹 피해 사례에 이름을 올렸다. 지난 5월 말 한 공격자가 시스코 네트워크에 침투하는 데 성공했다. 이른바 초기 액세스 브로커(Initial Access Broker, 돈을 받고 대상 네트워크로의 액세스를 제공하는 공격자)인 이 공격자는 UNC2447 사이버 범죄 조직, Lapsus$ 조직, 그리고 랜섬웨어 얀루오왕(Yanluowang) 운영자들과 연루된 것으로 보인다. 이번 공격에서 눈에 띄는 부분은 제로데이 취약점이나 패치 미설치, 네트워크 구성의 약한 지점이 아닌 전형적인 소셜 엔지니어링 기법을 사용했다는 점이다.    제한적 피해만 발생 이번 공격은 다른 대규모 해킹 사건의 경우와 달리 가치 있는 데이터를 얻지는 못한 것으로 보인다. 해커로부터 이메일을 받았다고 주장하는 Bleepingcomputer.com에 따르면, 해당 해커는 약 3,100개 파일로 구성된 2.75GB 용량의 데이터를 훔쳤다고 한다. 파일의 대부분은 비밀 유지 계약(NDA), 데이터 덤프, 기술 도면 등인 것으로 알려졌다. 시스코는 공식적으로 “2022년 5월 말에 회사 네트워크에서 보안 사고가 발생했다. 공격자를 제압해 네트워크에서 제거하기 위한 즉각적인 조치를 취했다. 이 사고는 시스코 제품 또는 서비스, 민감한 고객 데이터 또는 민감한 직원 정보, 회사 지적 재산 또는 공급망을 포함해 시스코 비즈니스에 아무런 영향을 미치지 않았다”고 발표했다.  공격자가 훔친 파일 목록을 게시하자 시스코도 사고를 세부적으로 공개했다. 시스코가 사고에 대처하면서 얻은 교훈을 다른 여러 기업에 제공하는 것은 주목할 만한 일이다. 시스코 내부 보안 그룹인 탈로스(Talos)는 블로그를 통해 공격자가 어떻게 네트워크에 침투했고 거기서 무엇을 했는지를 자세히 설명했다.     취약한 구글 계정  해킹의 출발점은 시스코가 아닌 구글이었다. 공격자는 시스...

시스코 해킹 소셜엔지니어링 2022.08.17

"2022 상반기 피싱 공격서 가장 많이 사칭한 브랜드는 마이크로소프트"

보안 회사 베이드(Vade)의 피싱 보고서(Phishers' Favorites)에 따르면 마이크로소프트가 2022년 상반기 피싱 공격에서 가장 많이 사칭된 25개 브랜드 가운데 페이스북을 제치고 1위에 올랐다. 총 1만 1,041개의 피싱 URL이 마이크로소프트를 사칭한 것이었다. 2021년 가장 많이 사칭된 브랜드 1위였던 페이스북은 총 1만 448개의 피싱 URL로 그 뒤를 바짝 쫓았다. 상위 5위 안에 드는 다른 브랜드로는 크레디 아그리콜(Credit Agricole), 왓츠앱(Whatsapp), 오렌지(Orange) 등이 있었다. 좋은 소식도 있다. 마이크로소프트, 페이스북 등 주요 브랜드를 사칭한 피싱 공격이 분기별로 증가하긴 했지만 이번 2분기(5만 3,198개) 전체 피싱 공격 건수는 1분기(8만 1,447개) 대비 감소했다.    창의적인 전술로 이뤄지는 마이크로소프트와 페이스북 피싱 2억 4,000만 명 이상의 비즈니스 사용자를 보유한 마이크로소프트의 365 플랫폼은 굉장히 매력적인 피싱 공격 타깃이라고 할 수 있다. 실제로 올해 이 브랜드를 사칭한 피싱 공격은 분기 대비 266% 급증했다.  보고서에 의하면 마이크로소프트의 브랜드는 맥아피, 노턴, 애플, 아마존 등 다른 기업과 마찬가지로 수많은 기술 지원 사기에 사용됐다. 달랐던 점은 해커가 사용자를 유인하고 이메일 필터를 우회할 때 피싱 링크 대신 전화번호를 사용했다는 것이다.  예를 들면 지난 6월 한 해커는 마이크로소프트 디펜더(Microsoft Defender)를 사칭하여 피해자에게 299달러의 구독료가 인출됐으며, 24시간 이내에 전화를 통해서만 취소할 수 있다고 알렸다. 피해자가 해당 알림에 표시된 번호로 전화를 걸면 해커는 사용자의 컴퓨터를 제어해 스파이웨어를 설치했다.  페이스북 피싱에서도 창의적인 전술이 발견됐다. 이를테면 ‘커뮤니티 표준 위반(Violation of Community Standards)’으로 ...

피싱 피싱 공격 마이크로소프트 2022.08.01

라온화이트햇, 피싱 방지 및 차단 서비스 ‘스마트안티피싱’ 출시

라온화이트햇이 피싱 사기 방지 및 차단 서비스 ‘스마트안티피싱(Smart Antiphishing)’을 출시했다. 스마트안티피싱은 라온화이트햇이 피싱 탐지 전문기업 ‘인피니그루’와 공동으로 개발한 서비스다. SMS, 메신저 앱, 음성통화 기록 등에서 발췌한 의심 키워드와 범죄자 연락처 블랙리스트, 악성 앱 설치 유도 URL 등 다양한 패턴 데이터를 수집하고, 이를 금융사의 이상금융거래탐지시스템(Fraud Detection System, 이하 ‘FDS’)으로 실시간 전송해 서비스 이용자는 물론 금융사가 직접 피싱 사기 여부를 판단하고 즉각 대응할 수 있도록 한 것이 특징이다.   기존에는 금융사에서 이용자의 거래 데이터만으로 피싱 사기 여부를 판별하기 힘들어 적극적인 피해 예방이 어려웠으나, 스마트안티피싱을 통해 금융사에서도 피싱 범죄에 대한 공동 대응이 가능해져 피싱 사기 피해를 크게 줄일 수 있을 것으로 업체 측은 기대하고 있다. 스마트안티피싱은 먼저 ▲SMS, 메신저 등에서 저금리 대출 안내, 사기 결제 등의 키워드 ▲악성앱 설치를 유도하는 URL ▲원격제어 또는 전화 가로채기 등을 실행하는 악성 앱의 설치 및 구동에 대한 이상징후 ▲보이스피싱 범죄자와의 통화에서 감지되는 사기 의심 음성 키워드 및 패턴 등이 포착되는 즉시 이용자에게 팝업 알람을 제공해 피해를 방지한다.  이용자가 피싱 사기를 미처 인지하는 못하더라도 ‘스마트안티피싱’을 통해 수집한 피싱 사기 관련 데이터를 주거래 금융사의 FDS에 즉각 공유해 금융사 차원에서 콜센터를 통한 안내, 통화 강제 종료, 이체 및 대출 실행 차단 등의 적극적인 조치를 취함으로써 2차 피해 예방이 가능하다. 또한, ‘돌봄이’ 기능을 통해 사전에 지정한 가족 또는 지인에게도 피싱 사기 여부를 통보하고 사용자의 통화를 강제로 종료할 수 있는 권한을 부여함으로써 사용자 본인, 금융사, 가족 및 지인까지 단계별로 대응할 수 있도록 해 피싱 사기를 원천 차단한다. 이외에도, 서비스 이용 중에 발생...

라온화이트햇 피싱 2022.06.30

"심각한 공격 위험의 50%, 경영진ㆍ관리자가 목표"

프루프포인트(Proofpoint)의 연례 휴먼팩터 2022 보고서(The Human Factor 2022)에 따르면 위협 행위자는 지난해 모든 기업의 아킬레스건인 인적 자본(human capital)을 공격할 때 “끊임없는 창의력(ceaseless creativity)”을 보여줬다.    지난 6월 2일(현지 시각) 발표된 이 보고서는 악의적 행위자의 최신 공격 트렌드를 파악하기 위해 프루프포인트의 (보안 솔루션) 배포에서 생성된 수조 개의 데이터포인트 그래프를 사용했다(회사에 따르면 프루프포인트는 매일 26억 개 이상의 이메일 메시지, 490억 개의 URL, 19억 개의 첨부파일, 2,820만 개의 클라우드 계정, 17억 개의 모바일 메시지 등을 분석한다).  이 업체의 사이버 보안 전략 부문 수석 부사장 라이언 칼렘버는 “2021년 공격자들은 자신들이 얼마나 악랄한지 여지없이 보여줬다. 위협으로부터 사람들을 보호하는 일은 기업에 있어 지속적인 도전 과제였다”라고 말했다.  보고서는 원격근무 그리고 스마트폰으로 인한 일과 개인 생활의 모호해진 경계가 공격 기법에 영향을 미쳤다고 밝혔다. 지난 1년 동안 미국에서는 SMS 피싱 또는 스미싱 시도가 2배 이상 증가했으며, 영국에서는 피싱 미끼의 50%가 배달 알림에 집중됐다. 많은 사람이 재택근무를 할 것이라는 예상은 하루에 10만 건 이상의 전화 공격이 이뤄지는 등 구식 음성 사기를 유발하기도 했다.    내부자 위협에 따른 위험이 증가하다 보고서에 의하면 내부자 위협으로 인한 위험이 계속 증가하고 있는 것으로 조사됐다. 프루프포인트의 위협 조사 및 탐지 부문 부사장 셰로드 드그리포는 “장기간의 하이브리드 근무와 대퇴직으로 인한 퇴사자 및 입사자의 유입은 내부자 위협 위험을 악화시켰다. 적절한 프로토콜이 무엇인지, 어떤 데이터가 접근 가능한지(또는 접근할 수 없는지), 어떤 채널을 사용해야 적절한지 불확실성이 컸다”라고 설명했다.   ...

프루프포인트 위협 행위자 휴먼팩터 2022.06.15

"훔칠 게 없어 괜찮다?" MFA 안 쓰는 갖가지 핑계와 대응 방법

많은 기업이 다중인증(Multi Factor Authentication, MFA) 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 효과가 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이런 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이런 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만, 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다.  3. “개인 전화번호가 마케팅에 사용되거나 서드파티 업체에 판매될 것이다” 이 핑계가 통하지 않도록 IT는 보안 이외의 목적으로 직원...

다중인증 이중인증 MFA 2022.05.06

“기술만으로는 방어하기 어렵다” 스피어 피싱의 모든 것

스피어 피싱(Spear Phishing)은 신뢰할 수 있는 발신자가 보낸 것으로 가장하는 표적화 된 이메일 공격이다. 공격자는 수신자를 안심시키기 위해 검색으로 얻은 정보를 사용하는 경우가 많다. 궁극적인 목적은 수신자가 링크를 클릭하거나 첨부파일을 다운로드하도록 유도해 기기를 악성코드에 감염시키거나, 수신인이 정보나 돈을 넘기는 등 공격자에게 도움이 되는 행동을 취하도록 속이는 것이다. 스피어 피싱 메시지는 치명적인 소셜 엔지니어링 기법을 사용해 신중하게 작성되며, 단순한 기술적 수단으로는 방어하기 어렵다.   보안관제 서비스 공급업체(MSSP) 뉴스파이어(Nuspire)의 CSO J.R 커닝햄은 “스피어 피싱에서 중요한 것은 스피어 피싱을 당하는 사람이 실제 표적이 아닌 경우가 많다는 것이다. 피해자가 접속하는 기업 환경이 최종 목표일 가능성이 가장 높다”라고 말했다. 피싱 vs. 스피어 피싱 vs. 웨일링 피싱, 스피어 피싱, 웨일링(Whaling)은 모두 이메일 공격 유형이다. 피싱은 이메일 또는 기타 전자 메시지를 사용해 표적을 속이는 광범위한 카테고리이며, 스피어 피싱과 웨일링은 피싱의 2가지 공격 유형이다. 대부분 피싱 공격은 수천 명의 수신자에게 자동으로 전송되는 포괄적인 메시지의 형태를 띤다. 첨부파일명이 ‘급여 명세서’라던지 가짜 복권 당첨 사이트로 연결되는 링크가 포함되어 있는 등 꽤 유혹적으로 작성되어 있다. 메시지 내용이 특정 사람에게 특화된 것은 아니다. ‘피싱(phishing)’이라는 용어는 ‘낚시(fishing)’에서 파생됐다(‘ph’로 바꾼 것은 엉뚱한 스펠링을 붙이는 해커들의 전통과도 같다). 미끼가 걸린 낚시 바늘(피싱 이메일)을 던지고 피해자가 물기를 기다리는 것을 비유했다. 스피어 피싱은 그 이름에서 알 수 있듯이 ‘특정’ 물고기를 잡으려고 시도하는 것이다. 스피어 피싱 이메일에는 공격자가 원하는 행동을 유도하기 위한 구체적인 정보가 포함돼 있다. 수신자의 이름부터 시작해 공격자가 다양한 소스에서 얻을 수...

스피어피싱 보안상식 피싱 2022.04.12

"피싱, SNS˙클라우드 넘어 금융으로 확대”

베이드(Vade)의 연간 피싱 보고서에 따르면, 메타는 작년 피셔가 가장 많이 사칭한 20곳 기업 중 1위로 전체 피싱 페이지의 14%에 달한다. 13%를 차지한 마이크로소프트가 2위에 올랐다. 베이드는 피싱과 악성코드, 스피어피싱, 스팸에 대한 이메일 필터링 서비스를 제공하는 기업이다. 베이드 최고 제품 책임자 아드리안 젠드레는 “피싱은 여전히 전 세계 기업에 가장 큰 위협이다. 피셔를 더 이상 독립된 해커가 아닌, 조직화된 해킹 그룹의 일원으로 예의 주시해야 한다”라고 경고했다.     사용자를 속이는 가짜 보안 경고와 비밀번호 재설정 펜데믹이 지속되는 가운데, 최근 메타로 사명을 바꾼 페이스북은 활성 사용자가 29억 명이 넘을 정도로 큰 관심을 받고 있다. 이로 인해 소셜 미디어 대기업인 메타는 피싱 공격의 주요 표적이 됐다. 메타 피싱은 일반적으로 합법적인 웹사이트를 가장해 사용자 자격 증명을 탈취하도록 설계된 피싱 페이지로 리디렉션하는 가짜 보안 경고 및 비밀번호 재설정 요구를 포함한다. 메타는 2년 전 2번째로 가장 많이 피싱에 사용됐다. 올해 피싱 대상 브랜드 2위인 마이크로소프트는 가장 많이 사칭된 클라우드 서비스 업체이다. 마이크로소프트를 사칭한 피싱은 이메일만 사용한 이전 피싱 수법과 달리 여러가지 정교한 공격을 실행했다. 새로운 피싱 전략은 마이크로소프트 로고와 피싱 링크 그 이상을 사용하며, 공격은 매우 표적화 및 자동화됐다. 이번 보고서는 매우 표적화된 마이크로소프트 365 피싱 페이지에 기업 로고와 배경 이미지를 자동으로 렌더링하는 공격을 강조했다. 젠드레는 “보고서에서 강조한 공격은 피해자가 피싱 링크를 클릭했을 경우에만 활성화되도록 설계된다. 예를 들어, 해커가 노리지 않은 사용자가 피싱 링크를 클릭하면 피싱 페이지가 실행되지 않으며, 안전한 페이지로 이동한다”라고 말했다. 이런 작업은 해커가 사용자의 이메일 주소로 마이크로소프트에 API를 호출해 사용자 신원을 확인하는 방식으로 이뤄진다. 사용자 신원이...

피싱 사칭 보안 2022.03.08

토픽 브리핑 | 사이버 공격의 시작 "피싱"과 대응 방안

코로나 19 시대를 보내면서 기업의 취약점과 제로데이에 대한 대응이 많이 향상됐다. 그 결과 공격자는 피싱(Phishing) 공격을 통한 사용자를 노리는 방법으로 전환했다. 한 기업의 보안은 가장 약한 고리의 세기만큼 강하다. 일반적으로 가장 약한 고리는 바로 인간, 사용자와 관련이 있다. 실제로 버라이즌의 2020년 데이터 유출 조사 보고서에 따르면, 피싱이 데이터 유출과 관련된 가장 많은 위협 활동으로 나타났다.    피싱은 위조된 이메일을 무기로 사용하는 사이버 공격이다. 피싱의 목표는 이메일 수신자가 그 메시지를 자신에게 필요한, 또는 자신이 원하는 메시지로 여기게끔 속이는 것이다. 예를 들어 은행에서 발신한 정보 요청 메일, 회사 내의 동료가 보낸 메시지라고 생각해 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도한다. 대표적인 사이버 공격 "피싱"의 방법과 이를 예방하는 법 ‘문자 메시지를 통한 피싱’ 스미싱의 정의와 이를 막는 방법 피싱은 공격 기술 측면에서 낮은 편에 속한다. 물론 집중적이고 개인화된 피싱 공격인 스피어피싱(spear phishing)이나 고위급 또는 고액의 목표물에 초점을 맞춘 피싱 공격인 웨일링(whaling)과 같은 훨씬 더 정교한 피싱 변종 공격도 있지만, 이 공격들은 기술보다는 소셜 엔지니어링에 초점을 맞추고 있다.  표적화된 이메일 공격을 멈추기가 어려운 이유 "스피어 피싱의 이해" 민감한 데이터 보유한 고위 임원, 피싱·랜섬웨어의 새로운 '먹잇감' "피싱 성공 후 2시간 만에 네트워크에 칩입" 카바낙의 해킹 운영방법…비트디펜더 그러나 피싱은 많은 네트워크와 엔드포인트 보호 솔루션을 우회하기 때문에 가장 효과적인 공격 유형 가운데 하나다. 피싱의 가장 큰 특징은 메시지의 형식이다. 공격자는 수신자가 신뢰하는 주체 또는 실존 인물이나 실제 있을 법한 인물, 또는 거래 협력업체를 가장한다. 피싱은 1990년 대부터 시작된 가장 오래된 사이버 공격 형태 가운데 하나인데, 최근 피싱 메시...

피싱 스미싱 스피어피싱 2021.06.11

윤리적이고 효과적인 피싱 테스트를 위한 5가지 베스트 프랙티스

규모를 막론하고 모든 기업에서 피싱 시뮬레이션(혹은 피싱 테스트)을 통한 보안교육이 인기를 끌고 있다. 피싱 테스트는 보안팀이 진짜처럼 보이는 악성 피싱 메일을 만들어 직원에게 발송하는 방식으로 이뤄진다. 통상 누락된 납품에 대한 안내, 송장 요청, 유명인들의 소문 같은 내용으로 이메일을 열어보게 만든다. 보안팀의 통제 아래 이런 이메일에 대한 응답을 정량화하고, 직원들의 보안 인식 수준을 확인한다. 얼마나 많이 첨부 파일을 열어보고, 링크를 클릭했는가? 얼마나 많은 이메일을 의심스러운 메일로 표시하거나, 무시했는가? 다른 것들에 비해 가장 큰 영향을 미친 이메일 제목은 무엇인가? 피해자가 될 확률이 더 높은 특정 부서나 사용자가 있는가? 이런 데이터는 사이버보안 인식 트레이닝 및 교육을 더 효과적으로 맞춤화하고, 해결해야 할 잠재적인 취약점을 파악하도록 한다.   피싱 테스트에 제기된 윤리적 문제 하지만 몇몇 사건으로 인해 피싱 테스트의 핵심 요소에 대한 윤리성이 논란이 되고 있다. 최근 논란의 여지가 있는 주제를 사용해 피싱 테스트를 진행한 영국 웨스트 미들랜즈의 한 철도회사가 대표적인 예다. WMT(West Midlands Trains)은 코로나19 팬데믹 위기 동안의 노고를 치하하기 위해 보너스를 지불한다는 내용으로 피싱 테스트를 진행했다. 발신인은 재무팀으로 가장했다. 또한 수신자가 WMT의 상무이사 줄리안 에드워즈에게 개인 메시지를 보낼 수 있는 마이크로소프트 오피스 365 링크를 클릭하도록 유도했다. 이 링크는 마이크로소프트가 피싱 테스트를 위해 설정한 셰어포인트 사이트로 연결되었고, 링크를 클릭한 사람에게는 HR 팀으로부터 로그인 정보를 요구하는 이메일을 주의하라는 충고 이메일을 받았다. 말할 필요도 없이 보너스는 지급되지 않았다.   윤리적인 피싱 테스트 일정액을 지불하겠다고 약속하는 방법은 사이버 범죄자들이 피해자를 속이기 위해 많이 사용하는 효과적인 전술이다. 그러나 피싱 테스트에서 이런 전술을 사용하는 것은 공정한 것...

보안 피싱 악성코드 2021.05.28

온라인 사기를 판별하는 방법 : 3가지 결정적 증거

악당들이 사람을 속이는 온갖 방법을 충분히 숙지하고 있다 해도, 온라인 사기에 걸려들기는 생각 이상으로 쉽다. 공격자는 충분히 많은 사람에게 사기 이메일을 보내면 속기에 딱 알맞은 조합을 갖춘 사람, 즉 일상에 쫓겨 주의가 산만한 동시에 온라인 계정에 대해 신경을 쓰는 사람을 최소한 몇 명이라도 찾게 된다.    필자가 온라인 사기에 거의 속아넘어갔던 일도 이런 경우에 해당됐다. 신용카드 대금 결제일이 다가오고 있었지만, 그 당시에 무척 바빴기 때문에 카드 대금 결제는 마음 속을 떠도는 수많은 일의 하나일 뿐이었다. 그러다가 갑자기 로그인하지 않으면 은행이 내 계좌를 잠글 것이라는 내용의 이메일을 받았다. 필자는 “이런! 결제일이 지났구나”라고 생각했다. 필자는 은행을 방문할 때 URL을 직접 입력하는 것이 최선임을 알고 있었음에도 아무 생각 없이 이메일의 링크를 클릭했다. 그렇게 해서 로그인 정보를 입력하려는 순간, 갑자기 뭔가 이상하다는 생각이 들어 행동을 멈췄다. 웹사이트 주소를 확인했더니 은행 로그인 정보를 수확하기 위해 만들어진 가짜 웹사이트였다. 간발의 차이로 계좌 정보를 입력하지 않았지만 아슬아슬했다. 피싱에 거의 걸려든 것이다. 이와 같은 종류의 수법에 대해 기사를 쓴 적이 있다는 사실이 무색했다. 심지어 필자는 이메일 내의 은행 링크를 절대 클릭하지 말아야 한다는 내용의 보안 팁 기사도 여러 건 썼다. 심리적으로 취약한 순간에 당하는 온라인 사기에는 누구나 속아넘어갈 수 있다. 하지만 미리 대비하면 온라인 사기를 판별하기는 사실 어렵지 않다. 잘 준비하면 여러 이유로 온라인 사기에 취약해지는 순간이 오더라도 냉철하게 스스로를 지킬 수 있을 것이다. 악당의 손아귀에서 자신과 온라인 계정을 안전하게 보호하기 위해 적용할 수 있는 기본적인 규칙을 소개한다.   규칙 1: 예상한 것이 아니라면 의심하라 온라인 사기의 전형적인 수법은 링크 클릭을 유도하는 것이다. 링크는 이메일에 포함될 수도 있고, 하이재킹된 친구의...

온라인사기 피싱 스캠 2021.05.03

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.