사칭 공격은 지난 10년간 증가 추세에 있으며, 대기업과 정부 기관이 사칭 공격의 표적이 되고 있습니다. 미국 연방거래위원회의 소비자 센티널 네트워크는 이러한 기업과 정부 기관을 노리는 수천 건의 사칭 사기가 지속적으로 보고되는 것을 경계하고 있습니다.
이러한 공격의 문제점은 사람의 심리를 이용하기 때문에 탐지 및 차단이 매우 어렵다는 것입니다. 게다가 사기범들은 점점 더 기술적으로 정교한 사칭 수법을 구사하고 있습니다. 이는 궁극적으로 사기의 성공률을 높이고 있습니다.
조직의 보안 관행이 허술하고 직원들의 인식이 부족한 것이 사칭 사기가 성공하는 일반적인 이유입니다. 2023년에만 33만 건의 기업 사칭 사기와 16만 건의 정부 사칭 사기가 신고될 정도로 사칭 사기가 기승을 부리고 있습니다! 그들의 소비자 보호 데이터 스포트라이트에서 FTC는 작년에 이러한 공격과 관련된 총 비용이 10억 달러를 넘어섰다고 밝혔습니다.
사칭 사기란 무엇인가요?
사칭 사기는 공격자가 조직, 기관 또는 개인을 사칭하여 피해자를 속여 민감한 정보를 공개하도록 유도하는 사이버 위협입니다. 사칭 사기는 일반적으로 금전적 동기나 조직의 내부 시스템 및 정보에 대한 액세스 권한을 얻기 위한 목적으로 이루어집니다.
대상은 누구인가요?
실제로 온라인에서는 누구나 사칭당할 수 있습니다. 그러나 사이버 공격자들은 수익성을 염두에 두고 일반적으로 다음과 같은 인기 있는 대상을 사칭하여 사기를 벌입니다:
- 잘 알려진 민간 기업
- 정부 기관
- 은행 및 금융 기관
- 대학, 대학교 및 기타 교육 기관
- 기업 고위 임원(CEO, CTO, CFO)
- 친구 및 가족
어떤 방법이 사용되나요?
사칭 사기를 수행하기 위해 공격자는 다음과 같은 방법을 사용할 수 있습니다:
1. 이메일 피싱: 피싱 이메일은 일반적으로 위조 또는 스푸핑된 도메인 이름으로 전송되며, 기존 고객 또는 잠재 고객을 속이기 위해 실제 조직을 사칭합니다.
2. 피싱/스미싱: 피싱과 유사하지만 전화나 SMS를 통해 수행되며, 공격자는 합법적인 출처를 사칭하여 민감한 정보를 빼냅니다.
3. 소셜 미디어: 소셜 미디어에서 사칭은 매우 만연해 있으며, 사기범들은 잘못된 정보를 퍼뜨리거나 친구와 가족을 속이기 위해 기존 사용자의 가짜 프로필을 만듭니다. 계정 탈취는 소셜 미디어 사칭 사기를 당하는 또 다른 방법입니다.
목표는 무엇인가요?
사칭 사기의 궁극적인 목표는 다음과 같습니다:
- 로그인 자격 증명, 계정 비밀번호, 신용카드 및 직불카드 정보 등과 같은 민감한 정보를 훔칩니다.
- 피해자 및 조직으로부터 돈을 훔치거나 송금하는 행위
- 피해자가 랜섬웨어 및 멀웨어를 시스템에 다운로드하도록 유도합니다.
- 신원 도용
2023년 소비자가 FTC에 신고한 5대 사칭 사기 유형
FTC는 데이터 스포트라이트 보고서에서 2023년 한 해 동안 소비자들이 가장 많이 신고한 사기 유형을 다음과 같이 소개했습니다:
1. 가짜 계정 보안 경고
은행에서 X 금액을 이체했다는 메시지와 함께 이 거래를 했는지 확인을 요청하는 메시지를 받았다고 가정해 보겠습니다. 이는 보안을 위해 은행에서 거래할 때 보내는 일반적인 메시지입니다. 다만 이 메시지는 실제로 은행에서 보낸 것이 아닙니다. 이번에는 은행을 사칭한 공격자가 자금을 이체하도록 속이기 위해 보낸 메시지입니다.
2. 가짜 계정 갱신 알림
한동안 갱신하지 않은 넷플릭스 계정이 있는데 갑자기 넷플릭스에서 자동 갱신을 진행 중이며 계정에서 금액이 차감된다는 알림을 받게 됩니다. 깜짝 놀라게 되고 즉시 조치를 취해야 합니다. 넷플릭스를 사칭한 사기꾼이 보낸 이 가짜 알림은 소비자들이 FTC에 신고한 유사한 사칭 사기 사례에서 착안한 것입니다.
3. 놀라운 할인 혜택, 세일 및 선물 쿠폰
이런 사기는 낯설지 않을 것입니다. 우리는 종종 이커머스 회사로부터 최신 세일 및 할인에 관한 메시지와 이메일을 받곤 합니다. 일부는 진짜인 경우도 있지만 대부분의 메시지는 사기입니다! 의심스러운 링크나 첨부 파일과 같은 경고 신호를 찾아보고 주의를 기울이는 것이 중요합니다. 그 밖에도 잘못된 메시지, 문법 오류, 사실이라고 하기에는 너무 좋아 보이는 할인 혜택도 사기성 경품일 수 있습니다!
4. 패키지 배송 문제
2023년부터 2024년 사이에 택배 배송 문제 사기가 급증했습니다. 이 사기는 매우 무해해 보입니다. 본인 명의로 배달된 소포가 배달되지 않았으니 지역 우체국에서 직접 수령하라는 메시지가 표시됩니다. 메시지에는 보통 소포에 대한 자세한 정보가 담긴 링크가 첨부되어 있습니다. 하지만 실제로는 소포가 없으며 링크를 클릭하면 피싱 웹사이트로 연결되어 사용자의 자격 증명을 도용하거나 시스템에 멀웨어를 다운로드할 수 있습니다!
5. 법에 대한 두려움
스트레스와 협박은 종종 판단력을 흐리게 하거나 판단력 부족으로 이어집니다. 이것이 이번 사칭 사기의 동기입니다. 법 집행 기관을 사칭하는 사기범들은 무고한 개인에게 어떤 식으로든 법에 연루되었다는 혐의를 씌웁니다. 혼란에 빠진 피해자는 문제를 피하고 자신을 보호하기 위해 사기꾼이 시키는 대로 행동합니다.
FTC, 정부 및 기업 사칭에 대한 새로운 규정 도입
On 2024년 4월 1일FTC는 마침내 정부 및 기업 사칭에 대한 새로운 규정을 발표했습니다. 사칭 사기를 방지하고 소비자의 금전적 손실을 최소화하기 위해 엄격한 조치를 도입했습니다. 주요 내용을 한 눈에 살펴보세요:
- FTC는 사기당한 소비자로부터 도난당한 돈을 환불받기 위해 가해자에 대해 법적 조치를 취할 수 있습니다.
- FTC는 다양한 유형의 사칭 사기에 대해 소비자를 보호하고 교육하여 소비자들이 더 나은 정보를 습득하고 대처할 수 있도록 지속적으로 노력하고 있습니다.
- FTC는 또한 4월 30일까지 공개 의견을 받고 있습니다. 무역 규제 규칙 에 대한 의견을 받고 있습니다.
이메일 사칭 사기의 주요 매개체
FTC는 2020년 이후 사칭 사기의 두 가지 주요 매체로 이메일과 문자 메시지를 꼽았습니다. 이전에는 전화 사기가 유행했지만, 이메일과 문자 메시지 사기가 증가하면서 그 빈도는 꾸준히 감소하고 있습니다!
그렇다면 공격자들이 이메일을 선택하는 이유는 무엇일까요? 이메일은 개인 및 업무 환경에서 너무 자주 사용되기 때문에 사이버 공격의 강력한 매개체가 될 수 있습니다. 전 세계 40억 명 이상의 이메일 사용자가 매일 3,000억 건 이상의 이메일을 전송합니다! 따라서 이메일은 사기꾼들이 잠재적인 피해자를 가려내는 데 널리 사용되는 매체입니다. 이메일이 인기 있는 다른 요인도 있습니다:
- 이메일 사기에 대한 인식 부족
- 기업 및 정부 기관의 잘못된 이메일 보안 관행
- 고급 도메인 인증 프로토콜에 대한 지원 부족
이메일 사칭 사기는 어떻게 예방하나요?
이메일 사칭을 방지하는 방법에는 크게 두 가지가 있습니다. 수신하는 이메일에 주의를 기울이고 사기꾼이 합법적인 발신자를 사칭하기 어렵게 만드는 것입니다(이는 조직에 더 많이 적용됩니다).
개인을 위한 몇 가지 팁을 알려드립니다:
- 위험 신호에 주의를 기울이세요: 사기꾼은 종종 긴박감이나 압박감을 조성하여 사용자가 생각 없이 빨리 행동하도록 유도합니다. 문법이나 철자가 틀린 이메일이나 예상치 못한 금전 또는 개인 정보 요청에 주의하세요.
- 발신자 주소를 확인합니다: 발신자 이름에만 의존하지 마세요. 전체 이메일 주소를 자세히 살펴보세요. 사기꾼은 발신자 이름을 쉽게 스푸핑하여 합법적인 것처럼 보이게 할 수 있습니다.
- 의심스러운 링크나 첨부파일은 클릭하지 마세요: 클릭하기 전에 링크 위로 마우스를 가져가 실제 대상 URL을 확인하세요. 모르는 발신자가 보낸 첨부파일은 절대 다운로드하지 마세요.
- 원치 않는 이메일에 주의하세요: 모르는 사람으로부터 이메일을 받는 경우 특히 주의하세요.
사칭 사기가 급증함에 따라 클라우드 이메일 보안 솔루션의 도입이 중요해졌습니다. 이메일 커뮤니케이션 보안을 위한 이러한 포괄적인 접근 방식은 증가하는 사이버 위협에 맞서 사칭 사기를 방지하고 민감한 정보를 보호하며 비즈니스 운영의 무결성을 유지하는 데 중추적인 역할을 합니다.
조직의 경우 구현할 수 있는 추가적인 기술적 조치가 있습니다:
- SPF 인증: SPF 는 도메인에서 보낸 것으로 주장하는 이메일이 인증된 서버에서 전송되었는지 확인하는 데 도움이 됩니다.
- DKIM 인증: DKIM 은 거래 중에 이메일이 변조되지 않았으며 메시지 콘텐츠가 그대로 유지되었는지 확인하는 데 도움이 됩니다.
- DMARC: DMARC 은 SPF 및/또는 DKIM을 기반으로 구축되며 이메일 수신자가 도메인에서 인증되지 않은 이메일을 처리하는 방법을 지정할 수 있습니다.
- 직원 교육하기: 직원들에게 이메일 사칭 사기에 대한 경각심과 이를 발견하는 방법을 교육하세요.
기술 프로토콜은 지식과 전문 지식과 함께 구성하는 데 시간, 노력, 리소스가 필요할 수 있지만, 조직은 다음을 통해 프로세스를 더 쉽게 수행할 수 있습니다. DMARC 분석기. 이 도구를 사용하면 단일 또는 여러 도메인에 대해 이메일 인증을 쉽게 설정, 모니터링 및 관리할 수 있습니다. 또한 비적용 정책에서 적용 정책으로 전환할 수 있는 더 빠르고 비용 효율적이며 안전한 솔루션입니다. 이를 통해 이메일 사칭 사기로부터 어느 정도 보호할 수 있습니다.
마지막 말
FTC는 사칭 사기의 피해자를 돕고 사이버 위협에 대한 인식을 확산하기 위해 지속적으로 노력하고 있습니다. 위원회는 절대로 금전을 요구하거나, 협박하거나, 무력을 사용하거나, 보상을 제공하지 않는다는 점을 기억하는 것이 중요합니다. 따라서 FTC를 사칭하며 의심스러운 행동을 하는 사람으로부터 SMS, 이메일 또는 전화를 받으면 주의하세요! 공식 웹사이트에 명시된 FTC 헬프라인 번호로 즉시 연락하여 도움을 받을 수 있습니다.
마지막으로, 항상 안전한 디지털 커뮤니케이션을 전파하고 실천하며, 경각심을 갖고 좋은 사이버 보안 도구에 투자하는 것을 잊지 마세요. 예방은 언제나 치료보다 낫고, 지금 올바른 조치를 취하면 향후 복구 비용으로 인한 피해를 줄일 수 있습니다!
- PowerDMARC와 ConnectWise의 통합 - 2024년 10월 31일
- 데이터그램 전송 계층 보안(DTLS)이란 무엇인가요? 장점과 과제 - 2024년 10월 29일
- DMARC 및 FedRAMP: 이메일 보안 향상 - 2024년 10월 28일