사용자 데이터를 훔치려는 사회 공학적 공격인 피싱 공격이 혁명을 일으키고 있습니다. 최근 AI의 급속한 발전은 합법적인 비즈니스를 위한 새로운 경로를 여는 것 이상의 일을 해냈습니다. 이제 ChatGPT는 피싱 사기를 수행하는 데 사용되고 있습니다.
LayerX가 보안 팀에 어떻게 도움이 되는지 알아보세요
피싱 공격이란 무엇입니까?
피싱은 인터넷만큼이나 오랫동안 존재해 왔습니다. 초기 공격은 공격자가 전자 메일 주소를 긁어내고 전파를 통해 악의적인 메시지를 공격할 수 있는 기본적인 전자 메일 보안을 활용했습니다. 초기 피싱 공격의 일인자는 나이지리아 프린스(Nigeria Prince) 사기였습니다. 이 과정에서 나이지리아 왕족으로 추정되는 한 사람이 피해자가 될 가능성이 있는 사람들에게 손을 뻗어 눈에 띄는 액수의 돈을 제안했습니다. 재정적 불안을 이용하여 취약한 개인은 "처리 수수료"를 지불하면 해당 금액을 약속받게 됩니다.
현대의 공격은 이 템플릿을 사용하여 오타가 많은 속임수를 훨씬 뛰어넘어 성장하고 번성했습니다. 오늘날 온라인 계정에서 처리되는 엄청난 양의 정보 덕분에 공격자들은 이제 은행 계좌 정보부터 사용자 이름 및 비밀번호까지 무엇이든 수집하는 것을 목표로 하고 있습니다. 공격자는 합법적이고 평판이 좋은 소스로 가장하여 유혹적이거나 경고적인 요청을 통해 정보를 추출하려고 시도합니다.
최근 개념 증명에서 콘텐츠 정책 위반 가능성에 대한 도구의 경고에도 불구하고 연구원들은 도구에 호스팅 회사의 이메일을 가장하도록 요청했습니다. 이로써 좋은 초안이 만들어졌습니다. 첫 번째 시도를 반복하면서 대상이 트로이 목마 Excel 문서를 다운로드하도록 유도하는 변형을 요청했습니다.
결과는 다음과 같습니다.
연구원들은 더 나아가 텍스트를 코드로 변환하는 데 사용되는 Open AI의 Codex 프로그램을 사용하여 열 때 자동으로 악성 코드 다운로드를 시작하는 Excel 문서를 만들 수 있었습니다. 이러한 AI 시스템에 대한 제한에도 불구하고 Codex는 요청 내에서 악의적인 의도를 식별하지 못했습니다. ChatGPT의 피싱 이메일과 마찬가지로 초기 코드에는 결함이 있었지만 몇 번의 반복 후에 완벽하게 작동하는 악성 스크립트를 제공했습니다.
피싱 공격이 진화함에 따라 조직이 한 발 앞서 나가는 것이 중요합니다.
피싱 작동 방식
피싱 공격의 핵심은 메시지입니다. 이는 이메일, 소셜 미디어 또는 전화를 통해 이루어질 수 있습니다. 최신 스마트폰과 장치의 지속적인 연결은 사이버 역사상 가장 큰 공격 표면을 구성합니다.
피싱 공격자는 소셜 미디어 계정에 게시된 정보이든, 주요 데이터 수집자가 겪은 이전 유출 정보이든 공개 정보를 활용하는 경우가 많습니다. 이 배경 정보는 수신자의 이름, 개인적인 관심사, 업무 경험을 포함하여 피해자 프로필을 만드는 데 도움이 됩니다. 이 모든 데이터는 공격에 투입되어 안정적으로 설득력 있는 메시지를 생성합니다. 최신 피싱 공격의 수신자는 매년 데이터 유출과 관련된 수백만 개의 이메일 주소에서 수집됩니다. IBM과 Ponemon의 최근 데이터 침해 비용 연구에 따르면 데이터 침해로 인한 평균 비용은 다음과 같습니다. 거의 4만 달러, 최대 90%의 기업이 해당 작년 내내 위반을 겪었습니다. 유출된 연락처 정보는 지하 시장을 통해 교환되며 광범위한 피싱 캠페인에 사용할 수 있는 데이터베이스로 패키징됩니다.
피해자의 받은 편지함에 나타나는 이메일은 합법적인 것처럼 가장하려고 시도하는 경우가 많습니다. 이러한 캠페인은 피해자로부터 더 많은 개인 데이터를 수집하도록 설계된 악성 첨부 파일과 지원 웹 사이트를 통해 지원될 수 있습니다.
피싱 공격 유형
공격자가 피해자에게 연락하기 위해 사용하는 다양한 채널이 있습니다. 이러한 피싱 공격은 매체의 특정 강점에 의존하는 각 유형의 다양한 손상을 나타냅니다.
피싱 이메일
가장 오래되고 가장 성공적인 피싱 형태 중 하나입니다. 공격자는 종종 합법적인 버전과 유사한 스푸핑 도메인 이름으로 등록합니다. 공격자가 의도적으로 전자 메일을 훑어보는 도메인을 표적으로 삼는 경우와 같이 완전히 아마추어부터 합법적인 버전과 거의 동일하게 보이는 스푸핑된 전자 메일 도메인까지 다양할 수 있습니다. 특수 문자를 바꾸거나 추가하는 것은 가장 일반적인 접근 방식 중 하나입니다(예: mybank를 my-bank로 전환). 그런 다음 확실한 스푸핑을 사용하여 수천 명의 잠재적 피해자에게 스팸 피싱 공격을 시작합니다.
스 미싱
기존의 피싱 공격은 이메일에 의존했지만 스마트폰은 지난 10년 동안 공격에 대한 완전히 새로운 접근 방식을 열었습니다. 사기성 SMS 메시지는 모바일 장치(및 해당 사용자)가 사용하는 느슨한 보안 프로토콜을 최대한 활용합니다. 이러한 메시지는 공격자가 제어하는 맬웨어에 감염된 사이트로 연결되는 경우가 많습니다. URL이 짧아지고 마우스를 올리면 공격자가 우위를 점할 수 없게 됩니다.
스피어 피싱
스프레이 앤 프레이 접근 방식의 효율성이 점점 떨어지자 공격자들은 더욱 강력한 공격 형태인 스피어 피싱으로 전환했습니다. 이는 공격자의 노력을 특정 소수를 표적으로 삼아 더 적은 수의 피해자로 압축합니다. 이러한 공격은 공개 Facebook 및 LinkedIn 프로필에 있는 모든 정보를 활용하는 동시에 공격자의 주의를 집중시키는 이점을 얻습니다.
바이 싱
스미싱이랑 비슷함, 공격자는 또한 다른 접근 방식을 활용하려고 합니다. 즉, 보이스 피싱(Vishing)은 발신자와 피해자 간의 보다 직접적인 관계를 활용합니다. 이는 유도된 긴급성 및 위협과 같은 피싱 공격의 특정 측면을 특히 강력하게 만듭니다. 여기에서 공격자는 동일한 속임수 접근 방식을 사용하며 종종 피해자 은행의 사기 조사팀인 것처럼 가장합니다. 여기에서 범죄자들은 신원 확인을 위해 피해자의 신용카드 정보를 요구하는 경우가 많습니다. 그러나 Vishing은 자동화될 수도 있습니다. 이러한 로봇 호출은 종종 최종 사용자에게 키패드에 개인 정보를 입력하도록 요청합니다.
낚시꾼 피싱
많은 공격자가 잠재적인 피해자를 적극적으로 추적하는 반면, 낚시꾼 피싱은 피해자의 연락을 기다리는 대신 다른 접근 방식을 취합니다. 공격자는 잘 알려진 실제 조직의 가짜 소셜 미디어 계정 뒤에 숨어 실제 계정의 프로필 사진도 포함할 수 있습니다. 낚시꾼 피셔는 설득력 있는 가짜 핸들과 함께 소셜 미디어 채널을 통해 처리되는 소비자 불만이 증가하는 추세를 이용합니다. 고객이 도움을 요청하기 위해 이를 사용하는 동안 공격자는 자신의 데이터 수집 목표를 향해 대화를 자유롭게 조작할 수 있습니다.
피싱 징후를 식별하는 방법은 무엇입니까?
소셜 엔지니어링은 악성 이메일의 주요 구성 요소이지만, 좋은 소식이 있습니다. 공격자는 메시징에서 몇 가지 주요 접근 방식을 사용하는 경우가 많습니다. 이러한 공격은 반복적으로 발생하므로 주의 깊게 관찰하면 악의적인 링크나 문서를 클릭하기 전에 간단한 피싱 공격을 발견할 수 있습니다.
부정적, 긴급한 결과
부정적인 결과를 위협하거나 특별히 강조하는 메시지는 극도로 주의해서 받아들여야 합니다. 이는 위협의 의미가 뇌의 코티솔 반응을 유발하기 때문입니다. 이 스트레스 호르몬에 직접적으로 반응하여 심장이 더 빨리 뛰고 혈액이 근육으로 흐르는 동안 공격자는 이 생물학적 반응을 가로채게 됩니다. 이것이 가짜 비밀번호 재설정 이메일이 공격자의 무기고에서 강력한 도구가 되는 이유 중 하나입니다. 공격자는 계정 손상 위협 아래 숨어서 일반적으로 사용자를 보호하는 비판적 사고 프로세스를 우회할 수 있습니다. 긴급한 어조와 짝을 이루면 피해자는 공격자의 모든 요구에 매우 쉽게 응할 수 있습니다.
특이한 톤
수신자에게 즉각적인 경보를 발령해야 하는 피싱 메시지의 또 다른 특징은 부적절하거나 예상치 못한 톤입니다. 피해자가 갖는 이점은 간단합니다. 얼마나 많은 동료, 친구, 가족이 의사소통을 하는지 알 수 있습니다. 이러한 인식을 통해 비정상적인 의사소통 사례를 감지할 수 있는 더욱 강력한 기반을 마련하게 됩니다. 친한 친구가 격식을 갖춘 언어를 포함한 메시지를 보내거나, 동료가 지나치게 친근한 용어를 사용하기 시작하는 경우, 이는 자신을 보호할 수 있는 첫 번째 지표가 될 수 있습니다.
예상치 못한 요청
이메일의 어조와 마찬가지로 피싱 이메일에 포함된 요청은 보낸 사람의 진정한 의도에 대한 또 다른 통찰력을 제공할 수 있습니다. 갑자기 평소 업무 범위에 속하지 않는 작업을 수행하라는 요청을 받은 경우 잠시 시간을 내어 다시 확인하는 것이 좋습니다. 이는 피해자가 이용할 수 있는 더 큰 상황별 이해를 활용할 수 있습니다. 예를 들어 조직에 소프트웨어 설치를 관리하는 중앙 IT 팀이 있는 경우 소프트웨어 다운로드를 요청하는 이메일을 매우 주의 깊게 처리해야 한다는 것을 알고 있습니다.
피싱 공격으로부터 기업을 보호하는 방법
개인이 믿을 수 없을 정도로 피싱에 대해 경계하게 될 수도 있지만, 기업 전체의 피싱은 단순히 통계 게임에 불과하다는 사실은 여전히 남아 있습니다. 즉, 어딘가에서 누군가가 서둘러 공격자에게 문을 열어줄 것입니다. 전사적 보호 참여도와 습관 중심 교육이 혼합되어 있어야 하며, 직원을 더 잘 지원하는 솔루션은 보호 상태를 유지해야 합니다.
직원 인식 교육
의 기초 견고한 피싱 방지 계획은 피해자부터 시작됩니다. 직원에게 오늘날 공격의 성격에 대한 최신 관련 정보를 제공함으로써 사회 공학 공격을 성공적으로 수행하기가 훨씬 더 어려워집니다. 이로 인해 직원 교육은 기업 방어의 가장 중요한 형태 중 하나가 되었습니다. 직원은 최첨단 피싱 공격의 목적과 기술을 이해하고 의심스러운 사고를 보고할 팀원이 누구인지 알아야 합니다. 이러한 방식으로 조직은 직원을 지원할 뿐만 아니라 공격자에 적응하고 발전하는 사전 예방적인 사이버 보안 자세를 취합니다.
이와 함께 직원들은 긍정적인 보안 지표를 주시하도록 권장되어야 합니다. 평판이 좋은 바이러스 백신 솔루션의 신뢰 배지는 사이트 및 애플리케이션 안전에 대한 빠르고 접근 가능한 지표를 제공합니다.
액세스 제한
사용자가 자신의 피싱 보호를 강화하는 동안 회사 전체의 정책이 이러한 노력을 지원할 수 있습니다. 권한 있는 사용자 계정은 성공적인 공격에 허용되는 폭발 반경이 더 넓기 때문에 가해자가 가장 많이 공격하는 대상 중 하나입니다. 최소 권한 원칙을 통해 직원은 필요한 데이터에 계속 액세스하는 동시에 표적이 될 위험을 최소화할 수 있습니다.
공격이 발생하기 전 복원력 테스트
교육과 인프라가 갖춰져 있으므로 피싱에 대한 조직의 복원력이 이미 구체화되기 시작했습니다. 그러나 오늘날 데이터 침해로 인한 비용은 위험을 감수하기에는 너무 높기 때문에 보안 팀과 최종 사용자 모두 준정기적인 피싱 공격 시뮬레이션을 통해 막대한 이익을 얻습니다. 사용자가 최신 공격 기술에 익숙해지는 것부터 회사가 실제로 얼마나 잘 방어되고 있는지에 대한 거시적 관점을 제공하는 것까지, 이러한 테스트는 사전 피싱 보호를 위한 에이스 카드입니다.
LayerX 브라우저 보안 플랫폼을 통한 피싱 예방
피싱 방지 퍼즐의 마지막 조각은 완전히 새로운 공격을 차단하는 예방 메커니즘 계층입니다. 기존의 피싱 방지 솔루션은 공격자가 이미 사용하고 있는 알려진 URL을 차단하는 방식으로 작동합니다. 이 접근 방식은 오래되고 확고한 위협 행위자에 대해 효과적이기는 하지만 완전히 반응적입니다. 즉, 선택한 URL이 표시되고 보고된 경우에만 공격을 예방할 수 있습니다. 반면 공격자는 지속적으로 URL에서 URL로 이동할 수 있으므로 대다수의 피싱 아키텍처가 이 보호 범위를 벗어나게 됩니다.
LayerX는 사전 지식에 의존하지 않고 고정밀 위협 탐지 기능을 제공합니다. LayerX는 블랙리스트에 포함된 URL의 간단한 목록 대신 웹 사이트의 예상 활동 분석을 기반으로 의심스러운 사이트 식별을 수행합니다. 우리의 독립적인 ML 엔진은 다음을 통해 실시간으로 이 분석을 수행합니다. 설치가 쉬운 브라우저 확장, 대기 시간이 없습니다. 이렇게 하면 최종 사용자의 장치가 공격자가 제어하는 웹 서버에 연결되기 전에 악의적인 의도를 발견할 수 있습니다. 피싱에 대한 사전 예방적 접근 방식을 통해 조직은 AI나 인간 등 모든 공격자보다 앞서 나갈 수 있습니다.