스미싱(Smishing)은 SMS(SMS)와 피싱(Phishing)의 합성어로 문자 메시지를 이용해 개인을 속이는 사이버 공격 유형이다. 스미싱 공격자는 대상을 속여 자격 증명이나 금융 정보와 같은 민감한 데이터를 공유하거나 악성 링크를 클릭하도록 합니다. 그런 다음 공격자는 이러한 작업을 활용하여 네트워크에 대한 무단 액세스를 얻거나 맬웨어나 랜섬웨어를 주입하거나 기타 유형의 악의적인 활동을 수행합니다.
스미싱은 피싱의 일종이다. 대부분의 경우 피싱 공격 이메일을 통해 진행됩니다. 그러나 스미싱은 대중적인 휴대폰 사용과 메시징 애플리케이션을 이용하여 모바일 메시지를 통해 피싱을 수행합니다. 또한 문자 메시지는 일반적으로 공개율이 높기 때문에 스미싱 공격자에게도 이점이 됩니다. 마지막으로, 사용자는 자신의 휴대폰이 안전하다고 잘못 인식하여 다양한 작업을 수행하도록 유도하는 문자 메시지에 대한 의심을 덜하게 되어 공격 성공 가능성이 높아집니다.
스미싱 공격은 어떻게 작동하나요?
스미싱 공격은 개인의 신뢰와 취약성을 이용하여 휴대폰을 통해 개인을 속이는 공격입니다. 스미싱 공격의 작동 방식은 다음과 같습니다.
- 초기 접촉 – 공격자가 스미싱 공격을 시작합니다. 이는 대상의 모바일 장치에 문자 메시지를 전송하여 수행됩니다. 메시지는 평판이 좋은 조직이나 알려진 연락처 등 신뢰할 수 있는 출처에서 온 것처럼 보이는 경우가 많습니다.
- 사기성 콘텐츠 – 스미싱 메시지에는 수신자의 관심을 끌고 응답을 얻으려는 사기성 콘텐츠가 포함되어 있습니다. 여기에는 긴급 알림, 보안 알림, 진심어린 요청, 공짜 제안, 할인, 복권 당첨 등이 포함될 수 있습니다.
- 긴급성과 조작 – 공격자는 긴박감을 조성하거나 대상의 감정을 이용하여 즉각적인 조치를 취합니다. 그들은 신속하게 조치를 취하지 않으면 부정적인 결과를 초래할 것이라고 주장할 수 있습니다. 예를 들어 계정 정지, 법적 문제, 재정적 손실 또는 건강상의 위험이 있습니다.
- 민감한 정보 또는 조치 요청 – 스미싱 메시지는 수신자에게 민감한 정보를 제공하도록 요청합니다. 예를 들어 비밀번호, 신용카드 정보, 주민등록번호 등이 있습니다. 또는 대상에게 악성 링크를 클릭하거나 유해한 첨부 파일을 다운로드하도록 지시할 수도 있습니다.
- 착취 및 사기 – 수신자가 요청한 작업을 수행하는 경우 공격자는 민감한 정보에 접근하거나 피해자의 장치에 악성 코드를 설치합니다. 이로 인해 신원 도용, 금융 사기, 무단 액세스, 또는 추가 착취 피해자 연락처.
스미싱 공격의 예
스미싱 사기는 다양한 허위 위장을 통해 자행될 수 있습니다. 여기에는 다음이 포함됩니다.
- 경품 또는 복권 사기 – 대상이 경품이나 복권에 당첨되었다고 주장하는 메시지, 당첨금을 받으려면 개인정보나 결제가 필요하다는 내용의 메시지.
- 가짜 보안 경고 – 수신자의 계정에서 의심스러운 활동을 주장하는 메시지가 수신되었으며, 링크를 클릭하거나 로그인 자격 증명을 제공하여 즉각적인 조치를 취할 것을 촉구했습니다. 여기에는 금융 계정, 애플리케이션 계정 등이 포함될 수 있습니다.
- MFA 코드 – 대상이 MFA 확인 코드를 공유한 후 사용자로 로그인하도록 요구하는 메시지입니다.
- 주문 정보 – 주문 확인, 주문 취소 주장 등과 같은 주문에 대한 가짜 정보가 포함된 메시지. 수신자가 링크를 클릭하면 로그인 자격 증명을 훔치는 가짜 사이트로 연결됩니다.
스미싱 공격을 식별하고 보호하는 방법
스미싱 공격으로부터 자신을 보호하려면 경계심과 인식이 중요합니다. 연습할 수 있는 몇 가지 방법은 다음과 같습니다.
1. 최신 정보를 얻고 스스로 훈련하세요.
공격자가 사용하는 최신 스미싱 기술과 일반적인 전술에 대한 최신 정보를 받아보세요. 긴급 요청, 원치 않는 메시지, 알 수 없는 번호에서 온 메시지 등 위험 신호를 숙지하세요.
2. 발신자 확인
모르는 번호나 개인으로부터 받은 문자 메시지에 주의하세요. 알 수 없는 발신자가 모두 스미싱을 나타내는 것은 아니지만 주의를 기울이고 발신자의 신원을 독립적으로 확인하는 것이 좋습니다. 메시지의 정당성을 확인하려면 공식 웹사이트나 확인된 전화번호를 통해 해당 기관에 직접 문의하세요.
3. 철자 및 문법 오류를 찾아보세요
스미싱 메시지에는 철자 오류, 문법 오류 또는 어색한 문구가 포함되어 있는 경우가 많습니다. 은행과 같이 신뢰할 수 있는 조직에는 일반적으로 통신 표준이 있습니다. 문자 메시지에 포함된 의심스러운 언어는 위험 신호일 수 있습니다.
4. 긴급하고 원치 않는 메시지를 주의하세요
즉각적인 대응을 요구하거나 규정을 준수하지 않을 경우 부정적인 결과를 초래할 것이라고 위협하는 메시지를 의심하십시오. 대부분의 합법적인 조직에서는 이러한 방식으로 정보를 요청하지 않습니다.
5. 하이퍼링크 및 개인정보 요청에 대한 주의
특히 의심스럽거나 익숙하지 않은 웹사이트로 연결되는 경우 문자 메시지에 제공된 링크를 클릭하지 마세요. 또한 비밀번호, 주민등록번호, 신용카드 정보 또는 기타 개인정보를 요구하는 메시지를 의심하세요.
6. 보안 소프트웨어 설치
스미싱 시도를 탐지하고 차단하려면 모바일 장치에 보안 소프트웨어를 설치하세요. 이러한 응용 프로그램은 잠재적으로 유해한 메시지나 링크를 식별하고 경고할 수 있습니다.
LayerX로 피싱 공격 방지
레이어X는 브라우저 보안 솔루션는 확장으로 제공되며 모든 웹 기반 위협 및 위험으로부터 애플리케이션, 데이터 및 장치를 보호하기 위해 특별히 제작되었습니다. LayerX는 승인된 앱과 승인되지 않은 앱 모두에서 직원의 웹 활동과 SaaS 사용에 대한 세부적인 가시성을 제공합니다. 동시에 사용자의 일상적인 작업 흐름을 방해하지 않으면서 뛰어난 사용자 경험을 보장합니다.
피싱을 차단하고 예방하기 위해 LayerX는 애플리케이션 계층에서 브라우저 세션을 모니터링하고 탐색 이벤트에 대한 가시성을 제공합니다. 이를 통해 웹 페이지의 악의적인 측면을 무력화하는 세션 분석 및 보호 조치 시행이 가능해집니다. 악성 웹사이트 활동은 브라우저와 상호작용하기 전에 차단됩니다. 또한 LayerX는 이메일을 통해 액세스한 페이지의 동작을 검사하여 피싱과 같은 악성 활동을 차단할 수 있습니다.