피싱은 현재 가장 널리 사용되는 사이버 범죄 전술 중 하나입니다.피싱은 걱정할 정도로 쉽게 수행될 수 있으며 장치 감염 및 매우 민감한 데이터의 도난을 초래할 수 있습니다.게다가 거의 모든 사람이 피싱 공격의 희생자가 될 위험이 있습니다.그러나 실제로 무엇입니까?피싱은 어떻게 작동합니까?그리고 당신은 그것을 피할 수 있습니까?
목차
피싱의 역사
피싱 행위는 컴퓨터가 오늘날 우리가 사용하는 것과 매우 다르게 보이고 작동하던 1990년대 중반으로 거슬러 올라갑니다.이 기간 동안 인기 있는 미국 전화 접속 서비스인 AOL(America Online)은 많은 사람들이 선택한 인터넷 공급자였습니다.이로 인해 피해자로부터 귀중한 로그인 정보를 훔치기 위해 AOL 직원을 사칭한 피싱 공격자의 주요 표적이 되었습니다.
5년 후, 5천만 대 이상의 컴퓨터가 Love Bug로 알려진 것에 감염되었습니다.이것은 소셜 엔지니어링을 통해 장치 간에 퍼진 바이러스였습니다.이름에서 알 수 있듯이 이 책략은 희생자를 사기 위해 사랑의 유혹에 의존했습니다.대상은 보낸 사람이 러브 레터라고 주장한 첨부 파일이 포함된 이메일을 받게 됩니다.호기심 많은 사람들은 이 첨부 파일을 열기로 선택했지만 위험한 사기에 손을 대고 있다는 사실을 깨닫지 못했습니다.
Love Bug 바이러스는 확산하기 위해 자신을 복제하여 일종의 컴퓨터 웜으로 만듭니다.또한 암호를 훔칠 수 있는 가해자에 의해 생성된 이전 버그의 가속화된 버전이었습니다.이 새로운 버전의 바이러스는 Outlook의 Visual Basic 스크립트를 진입점으로 사용할 수 있었으며, 이를 통해 운영자는 피해자의 이메일 계정을 해킹하고 주소 목록에 있는 모든 사람에게 피싱 이메일을 보낼 수 있었습니다.
피싱 방법이 자신의 감정에 영향을 미칠 수 있다는 점에서 성공하는 경우가 많습니다.Love Bug 바이러스는 외로움을 노리는 반면, 다른 피싱 공격자들은 의사소통에 긴박감을 사용하여 피해자가 따르도록 겁을 줍니다.따라서 이러한 공격이 어떻게 작동하는지 자세히 알아보겠습니다.
피싱은 어떻게 작동합니까?
이미지 제공: Net Vector/Shutterstock
피싱이 작동하는 방식을 더 잘 이해하기 위해 자격 증명 피싱으로 알려진 피싱의 전형적인 예를 살펴보겠습니다.이 악의적인 벤처는 계정을 해킹하기 위해 사용자의 로그인 자격 증명을 훔치려고 합니다.이것은 피싱 메시지를 더 퍼뜨리거나, 데이터를 훔치거나, 단순히 누군가의 프로필을 엉망으로 만들기 위해 수행될 수 있습니다.일부 사람들은 부적절하거나 혐오스러운 언어를 게시하는 것 외에 다른 이유 없이 소셜 미디어 계정을 해킹당했습니다.
Alice가 Walmart로부터 온라인 쇼핑 계정에 의심스러운 활동이 기록되어 있다는 이메일을 받았다고 가정해 보겠습니다.이메일은 또한 그녀가 문제를 확인하거나 신원을 확인할 수 있도록 제공된 링크를 통해 계정에 로그인하도록 요청합니다.
앨리스는 이 모습을 보고 긴장하거나 두려웠을 것이며 누군가가 자신의 계정을 도용한 것이 아닌가 하는 걱정을 하게 될 것입니다.이러한 우려로 인해 Alice는 이메일의 요청을 준수하여 가능한 한 빨리 문제를 해결하는 것처럼 보일 수 있습니다.피셔가 크게 의지하는 것은 바로 이 두려움입니다.그들은 계정이 위협을 받고 있다고 말하거나 Alice가 조치를 취하지 않으면 폐쇄될 수 있습니다.
따라서 Alice는 수정 절차를 수행하고 있다고 가정하고 제공된 링크를 클릭하여 Walmart 로그인 페이지로 이동합니다.그런 다음 그녀는 로그인하기 위해 로그인 자격 증명을 입력합니다. 이 시점에서 이미 너무 늦었습니다.
피싱의 결과
Alice는 이것이 합법적인 Walmart 로그인 페이지가 아니라는 것을 알지 못합니다.오히려 그녀의 데이터를 훔치도록 설계된 악성 웹사이트입니다.
이 페이지에 로그인 자격 증명을 입력하면 이를 제어하는 공격자가 이를 가로채서 훔칠 수 있습니다.여기에서 공격자는 Alice의 Walmart 계정을 직접 해킹하여 무단 구매를 하거나 이메일 주소나 집 주소와 같은 Alice 계정의 다른 개인 정보를 사용하여 그녀를 더욱 악용할 수도 있습니다.
공격자는 로그인 후 손상된 계정의 비밀번호를 변경하여 사기를 수행하는 동안 피해자를 잠글 수 있습니다.
또는 피싱 사기꾼은 수집한 개인 정보를 가져와 불법 시장에 판매할 수 있습니다.다크 웹에는 총에서 누군가의 신용 카드 정보에 이르기까지 무엇이든 살 수 있는 다양한 지하 시장이 있습니다.민감한 데이터는 소셜 시큐리티 번호, 비밀번호, 심지어 여권까지 판매 목록에 올려져 있어 이러한 사이트에서 매우 중요합니다.
악의적인 행위자는 다크 웹에서 불법적인 데이터 판매를 통해 수천 또는 수백만 달러를 벌 수 있으므로 많은 사람들이 데이터를 얻기 위해 할 수 있는 일을 하는 것은 놀라운 일이 아닙니다.
사칭은 피싱의 핵심 요소입니다.물론 공격자는 자신이 공격자라고 뻔뻔하게 말하지는 않을 것입니다.만약 그렇다면 그들의 성공률은 엄청나게 낮을 것입니다.대신, 악의적인 행위자는 소매업체, 소셜 미디어 아울렛 또는 정부 기관과 같은 공식 기관인 것처럼 가장합니다.이러한 정당성의 분위기는 공격자의 주장된 신뢰성을 더하고 대상에게 잘못된 신뢰감을 줍니다.
일부 피싱 공격은 단 몇 분 또는 몇 초 만에 수행될 수 있지만 일부는 완료하는 데 며칠 또는 몇 주가 걸립니다.공격자가 매우 민감한 정보를 누설하도록 유도하기 위해 대상과 더 큰 신뢰를 구축해야 하는 경우.예를 들어, 공격자는 무언가를 확인하거나 계정을 복원하는 등의 목적으로 대상의 정보가 필요한 대기업의 동료로 가장할 수 있습니다.
시간이 지남에 따라 피싱 사기꾼은 피해자가 실제로 일어나고 있는 일을 보지 못하게 하는 전문성의 분위기를 조성할 것입니다.그들은 여러 이메일을 교환할 수 있으며, 이를 통해 피해자의 가드가 점점 더 드롭됩니다.피셔가 목표 범위 내에서 위조하려고 하는 것은 경계심에서 의지로 점진적으로 전환하는 것입니다.
또한 피싱은 맬웨어를 퍼뜨리는 데 사용될 수 있습니다.이것은 찾기 힘든 스파이웨어에서 매우 위험한 랜섬웨어에 이르기까지 무엇이든 될 수 있습니다.따라서 피싱은 다양한 방식으로 기기와 기기 소유자에게 영향을 미칠 수 있습니다.
피싱 공격에 절대 빠지지 않을 것이라고 생각하기 쉽지만 이러한 사기는 해가 갈수록 교묘해지고 있습니다.피싱 페이지는 이제 그들이 속이는 사이트와 동일하게 보일 수 있으며 공격자는 설득력 있고 전문적인 방식으로 이메일을 표현하는 데 능숙합니다.
피싱을 피하기 위해 무엇을 할 수 있습니까?
피싱을 피하는 방법
피싱은 모든 종류의 메시징 서비스를 통해 수행될 수 있지만 가장 일반적으로 이메일을 통해 발생합니다.이메일 주소는 복제할 수 없기 때문에 피싱 공격자는 공식 주소와 거의 동일한 주소를 생성할 가능성이 높습니다.이것이 발신인의 주소에 비정상적인 철자나 기타 오류가 있는지 확인하는 것이 중요한 이유입니다.
또한 보낸 사람을 얼마나 신뢰할 수 있는지에 관계없이 이메일을 통해 제공되는 링크에 주의해야 합니다.피셔는 때때로 계정을 해킹하여 사용 가능한 모든 연락처에 이메일을 보냅니다.친구, 가족 또는 기타 신뢰할 수 있는 개인이 보낸 링크인 경우 링크를 열 가능성이 훨씬 높으며, 이는 피싱 공격의 성공에도 영향을 미칩니다.
따라서 누가 링크를 보내든 항상 먼저 확인해야 합니다.링크가 악성인지 안전한지 판별할 수 있는 링크 검사 웹 사이트를 사용하여 이 작업을 수행할 수 있습니다.도메인 검사기를 사용하여 웹사이트가 합법적인지 확인할 수도 있습니다.예를 들어 Instagram의 로그인 페이지로 연결되는 링크를 받았지만 도메인이 생성된 지 며칠 되지 않았다면 사기를 당하고 있을 가능성이 큽니다.
또한 이메일 제공업체의 스팸 방지 기능을 활용하여 악성 이메일을 필터링하여 직접 받은 편지함에 도착하지 않도록 해야 합니다.
멀웨어를 차단하려면 기기에 높은 수준의 보안을 제공하는 것도 중요합니다.피싱은 다양한 종류의 맬웨어를 전파하는 데 사용될 수 있지만 대부분의 악성 프로그램은 합법적인 바이러스 백신 소프트웨어를 사용하여 차단할 수 있습니다.단순히 백그라운드에서 실행되는 것에 대해 비용을 지불하고 싶어하는 사람은 아무도 없지만 악의적인 공격자의 표적이 된 경우 큰 차이를 만들 수 있습니다.
통신 내 철자 오류도 또 다른 사기 지표가 될 수 있습니다.공식 기관은 종종 메시지가 올바른 철자와 문법으로 작성되었는지 확인하지만 일부 사이버 범죄자는 여기에서 약간 엉성할 수 있습니다.
피싱은 도처에 있지만 막을 수 있습니다
피싱은 우리에게 큰 관심사입니다.이러한 종류의 공격은 데이터와 장치를 위험에 빠뜨리고 심각한 결과를 초래할 수 있습니다.이 악의적인 사이버 범죄로부터 자신을 보호하고 경계를 유지하려면 위의 팁을 확인하십시오.
