이메일 피싱은 수년에 걸쳐 게이머들이 장난 이메일을 보내던 것에서 전 세계 해커들에게 수익성이 높은 활동으로 진화했습니다.
실제로 90년대 초중반에 AOL은 최초의 대규모 이메일 피싱 공격을 경험했습니다. 무작위 신용카드 생성기를 사용하여 사용자 인증 정보를 탈취한 해커는 AOL의 회사 전체 데이터베이스에 더 광범위하게 액세스할 수 있었습니다.
이러한 공격은 AOL이 추가 피해를 방지하기 위해 보안 시스템을 업그레이드하면서 중단되었습니다. 이후 해커들은 오늘날에도 널리 사용되는 사칭 전술을 사용하여 더욱 정교한 공격을 개발했습니다.
최근 백악관과 WHO에 영향을 미친 사칭 공격은 모든 기관이 이메일 공격에 취약하다는 것을 증명합니다.
Verizon의 2019년 데이터 유출 조사 보고서에 따르면 2019년에 발생한 데이터 유출 사고의 약 32%에 이메일 피싱과 소셜 엔지니어링이 각각 포함되었습니다.
이를 염두에 두고 피싱 공격의 다양한 유형과 피싱 공격이 오늘날 비즈니스에 큰 위협이 되는 이유에 대해 살펴보겠습니다.
시작해 보겠습니다.
1. 이메일 스푸핑
이메일 스푸핑 공격은 해커가 이메일 헤더와 발신자 주소를 위조하여 신뢰할 수 있는 사람이 보낸 것처럼 보이게 하는 공격입니다. 이러한 공격의 목적은 수신자가 메일을 열어 링크를 클릭하거나 공격자와 대화를 시작하도록 유도하는 것입니다.
이러한 공격은 전통적인 해킹 방법을 사용하는 것이 아니라 사회 공학 기법에 크게 의존합니다.
이는 사이버 공격에 대한 다소 정교하지 않거나 '로우테크' 접근 방식으로 보일 수 있습니다. 하지만 실제로는 의심하지 않는 직원에게 보내는 설득력 있는 이메일을 통해 사람들을 유인하는 데 매우 효과적입니다. 소셜 엔지니어링은 시스템 보안 인프라의 결함이 아니라 사람의 실수가 불가피하다는 점을 이용합니다.
한 번 살펴보세요:
2019년 9월, 도요타는 이메일 사기로 인해 3,700만 달러의 손실을 입었습니다.
해커는 이메일 주소를 스푸핑하고 금융 권한이 있는 직원을 설득하여 전자 자금 이체를 위한 계좌 정보를 변경할 수 있었습니다.
그 결과 회사에 막대한 손실이 발생했습니다.
2. 비즈니스 이메일 침해(BEC)
FBI의 2019년 인터넷 범죄 보고서에 따르면 BEC 사기로 인해 170만 달러 이상의 피해가 발생했으며, 2019년에 발생한 사이버 범죄 피해의 절반 이상을 차지했습니다.
BEC는 공격자가 비즈니스 이메일 계정에 액세스하여 회사 및 직원에게 피해를 입힐 목적으로 해당 계정의 소유자를 사칭하는 데 사용하는 경우를 말합니다.
BEC는 매우 수익성이 높은 이메일 공격 형태이며 공격자에게 높은 수익을 가져다주기 때문에 여전히 인기 있는 사이버 위협으로 남아 있습니다.
콜로라도의 한 마을이 BEC 사기로 인해 100만 달러 이상의 손실을 입었습니다.
공격자는 지역 웹 사이트에서 양식을 작성하여 지역 건설 회사에 현재 마을에서 진행 중인 작업에 대한 일반적인 수표를 받는 대신 전자 결제를 받도록 요청했습니다.
한 직원이 양식을 수락하고 결제 정보를 업데이트한 결과 공격자에게 백만 달러가 넘는 금액을 송금했습니다.
3. 공급업체 이메일 침해(VEC)
2019년 9월, 일본 최대 미디어 조직인 Nikkei Inc. 일본 최대 미디어 조직은 2,900만 달러의 손실을 입었습니다.
닛케이의 미국 지사에 근무하는 한 직원이 경영진을 사칭한 사기범의 지시에 따라 돈을 이체했습니다.
VEC 공격은 공급업체 회사의 직원을 감염시키는 이메일 사기의 한 유형입니다. 위의 예와 같은 것이죠. 그리고 당연히 비즈니스에 막대한 재정적 손실을 초래했습니다.
이메일 피싱이란 무엇인가요?
이메일 피싱은 사기꾼이 이메일을 보내 사람들을 속여 기밀 정보를 제공하도록 유도하는 사회 공학의 한 형태입니다. 이메일은 종종 은행, 정부 기관 또는 회사 내 누군가와 같이 사용자가 신뢰하는 조직이나 개인이 보낸 것처럼 보입니다.
사람들이 온라인에서 보내는 시간이 길어지고 실제 메일을 읽는 시간이 줄어들면서 이메일 피싱이 점점 더 보편화되고 있습니다. 따라서 사기범들은 이메일을 통해 피해자에게 쉽게 접근하고 연락할 수 있습니다.
피싱을 식별하는 방법은 무엇인가요?
이메일이 진짜인지 확실하지 않은 경우 몇 가지 방법으로 확인할 수 있습니다. 우선 발신자의 주소를 확인하세요. 해당 회사나 정부 기관의 공식 커뮤니케이션에서 익숙한 주소와 일치하지 않는다면 합법적인 이메일이 아닐 가능성이 높습니다.
또한 이메일의 제목과 본문에서 맞춤법 오류나 기타 가짜 이메일일 수 있는 경고 표시가 있는지 확인해야 합니다. 예를 들어, 누군가 내 계정에 대한 '정보'가 있다고 주장하는 이메일을 보내면서 '정보'의 철자를 '정보'로 잘못 입력했다면 해당 이메일이 자신이 직접 작성한 것이 아니며 무슨 내용인지 모른다는 신호일 수 있습니다!
DMARC로 이메일 피싱을 방지하는 방법은 무엇인가요?
전 세계 기업들은 위에 열거한 사례를 막기 위해 사이버 보안 예산을 늘리고 있습니다. IDC에 따르면 보안 솔루션에 대한 전 세계 지출은 2022년에 1, 337억 달러에 달할 것으로 예상됩니다.
하지만 현실은 DMARC와 같은 이메일 보안 솔루션의 도입이 더디다는 것입니다.
DMARC 기술은 2011년에 등장했으며, 전 세계 비즈니스에 대한 위협이 입증된 표적 BEC 공격을 방지하는 데 효과적입니다.
DMARC는 인증되지 않은 이메일에 대해 어떤 조치를 취해야 도메인의 무결성을 보호할 수 있는지 결정할 수 있도록 SPF 및 DKIM과 모두 작동합니다.
읽기: DMARC란 무엇이며 지금 바로 가입해야 하는 이유는 무엇인가요?
위의 각 사례에는 공통점이 있습니다... 바로 가시성입니다.
이 기술을 사용하면 이메일 피싱 활동이 비즈니스에 미칠 수 있는 영향을 줄일 수 있습니다. 방법은 다음과 같습니다:
- 가시성 향상. DMARC 기술은 보고서를 전송하여 비즈니스 전반의 이메일 활동에 대한 자세한 인사이트를 제공합니다. PowerDMARC는 강력한 위협 인텔리전스 엔진을 사용하여 스푸핑 공격에 대한 실시간 경고를 생성합니다. 이는 전체 보고와 결합되어 사용자의 과거 기록에 대한 더 큰 인사이트를 얻을 수 있습니다.
- 이메일 보안 강화. 스푸핑 및 피싱 위협에 대해 회사 이메일을 추적할 수 있습니다. 예방의 핵심은 신속하게 대응할 수 있는 능력이라고 믿기 때문에 PowerDMARC는 연중무휴 24시간 보안 운영 센터를 갖추고 있습니다. 이메일을 악용하는 도메인을 즉시 삭제할 수 있는 기능을 갖추고 있어 비즈니스의 보안 수준을 높일 수 있습니다.
전 세계가 코로나19 팬데믹으로 몸살을 앓고 있지만, 이는 해커들이 취약한 보안 시스템을 악용할 수 있는 광범위한 기회를 제공했을 뿐입니다.
최근 백악관과 WHO를 사칭한 공격은 DMARC 기술을 더 많이 사용해야 할 필요성을 잘 보여줍니다.
코로나19 팬데믹과 이메일 피싱의 증가로 인해 3개월 무료 DMARC 보호를 제공하고자 합니다. 지금 바로 시작하려면 아래 버튼을 클릭하세요.
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일
- 암호화폐 사기에 대처하는 이메일 안전 101 - 2024년 4월 30일