사이버 범죄는 수익성이 높지만 진입 장벽이 높습니다. 과거에는 해커가 처음부터 공격을 개발하기 위해 지식과 기술이 필요했습니다. 하지만 최근에는 서비스형 피싱이 부상하면서 이러한 기술적 장벽은 과거의 일이 되었습니다. 이제 어디를 살펴보고 얼마를 지출할지 알기만 하면 누구나 버튼 클릭 한 번으로 사이버 범죄자가 될 수 있습니다.
피싱은 정교한 데이터 도용 계획의 첫 단계일 수 있으며, 한 가지 간단한 이유 때문에 여전히 인기 있는 수법입니다: 그것은 작동합니다. 피싱은 오랫동안 사용되어 왔지만 오늘날의 사이버 범죄자들은 다양한 방식으로 피싱을 사용하는 방법을 알고 있습니다.
FBI 통계에 따르면 피싱과 그 변종은 세 번째로 가장 흔한 사이버 범죄 중 2017그 결과 약 3천만 달러 의 피해가 발생했습니다. 피싱 공격은 2019년에 크게 증가했습니다. 2019. 피싱 이메일은 랜섬웨어의 주요 유입 경로였습니다. 2020전체 디지털 취약점의 최대 54%를 차지했습니다. 잘못된 사용자 행동과 사이버 보안 교육 및 강제 인증 프로토콜의 부재가 이러한 놀라운 통계에 기여한 중요한 요인이었습니다.
완화 방법 알아보기 "DMARC 레코드를 찾을 수 없습니다." 오류를 해결하세요.
서비스형 피싱(PhaaS)이란 무엇인가요?
서비스형 피싱(PhaaS)은 웹을 통해 범죄자들이 돈을 받고 다른 사람들에게 피싱 서비스를 제공하는 조직적인 사이버 범죄의 일종입니다. 피싱은 범죄자가 합법적인 회사로 가장한 메시지를 보내 사람들을 속여 은행 정보나 비밀번호와 같은 개인 정보를 제공하도록 유도하는 이메일 사기 변종입니다. PhaaS 제공업체는 종종 진짜처럼 보이는 가짜 웹사이트와 랜딩 페이지를 만들어 사람들이 사기를 알아차리기 더욱 어렵게 만듭니다.
서비스형 피싱은 점점 더 정교해지고 있으며, 서비스형 피싱 제공업체는 이메일 2단계 인증과 같은 보안 조치를 우회하는 경우가 많습니다. 따라서 서비스형 피싱은 기업이 반드시 인지해야 하는 문제가 되고 있습니다. 피싱 이메일을 탐지하는 방법에 대한 직원 교육, 피싱 방지 소프트웨어 사용, 이메일 인증 프로토콜 구현 등 기업이 피싱으로부터 자신을 보호하기 위해 취할 수 있는 조치가 있습니다. 그러나 피싱 서비스 제공업체가 점점 더 교묘해짐에 따라 기업은 스스로를 보호하기 위해 끊임없이 경계를 늦추지 말아야 합니다.
서비스형 피싱이 문제가 되는 이유는 무엇인가요?
많은 기업에게 PhaaS의 확산은 위험 신호입니다. 피싱은 이미 심각한 보안 문제로 대두되고 있으며, Egress에 따르면 기업의 73%가 지난 한 해 동안 피싱 공격의 표적이 된 적이 있다고 합니다. 피싱 키트의 수익화는 상황을 더욱 악화시킬 것입니다.
서비스형 피싱은 피싱에 대한 장벽을 낮추기 때문에 문제가 됩니다.
PhaaS는 진입 장벽을 낮춤으로써 피싱에 도전하는 새로운 세대의 사이버 범죄자들에게 영감을 주었으며, 그 투자 수익은 막대합니다. 효율적인 이메일을 보내려면 사이버 범죄자는 일반적으로 HTML을 알아야 합니다. 또한 자격 증명을 훔치면서도 진짜처럼 보이는 웹사이트를 만드는 방법도 이해해야 합니다. 피싱 키트를 구매한 경우 피싱 공격을 수행하는 데 이러한 기술이 필요하지 않습니다. 공격의 구상과 '실행' 사이에는 시간이 거의 없습니다.
이미 피싱 공격을 실행하고 있는 사람들도 PhaaS의 이점을 누릴 수 있습니다. 일반적으로 공격자의 능력에 따라 피싱 캠페인의 성공이 제한되기 때문입니다. 하지만 피싱 키트를 구매하면 더 많은 사람들이 피싱 공격에 속아 넘어갈 것입니다.
또한 PhaaS는 피싱 시도를 처벌하는 것을 더욱 어렵게 만듭니다.
피싱 키트 제작에 숙련된 사람들은 피싱 공격을 수행하지 않고도 비즈니스를 통해 수익을 창출할 수 있습니다. 피싱 키트 사용자가 적발되더라도 피싱 키트를 판매한 사람은 기소되지 않을 가능성이 높습니다. 따라서 실제 사이버 범죄자는 계속해서 다른 사람들에게 유사한 키트를 판매할 수 있습니다.
피싱 위협을 완화하는 방법은 무엇인가요?
피싱은 오래된 수법이지만 계속해서 사용자를 속일 수 있지만 다음과 같은 모범 사례를 구현하면 안전을 유지할 수 있습니다:
직원 교육
피싱에 대한 직원 교육과 함께 직원이 피싱 사기에 당했을 때 비즈니스를 보호할 수 있는 시스템을 갖추는 것이 중요합니다. 예를 들어, 스팸 필터를 사용하여 의심스러운 이메일이 직원의 받은 편지함에 도착하지 않도록 차단하는 것을 고려해야 합니다. 또한 의심스러운 이메일을 신고하여 조사할 수 있는 프로세스를 마련해야 합니다. 이러한 예방 조치를 취하면 피싱 공격으로부터 비즈니스를 안전하게 보호할 수 있습니다.
의심스러운 링크는 절대 클릭하지 마세요
첫째, 평판이 좋은 기관에서 보낸 것이라고 주장하는 원치 않는 이메일이나 문자는 의심하세요. 알려진 회사에서 보낸 메시지라도 안전하다고 확신할 수 없는 링크나 첨부 파일은 절대 클릭하지 마세요. 확실하지 않은 경우 메시지에 포함된 링크를 클릭하지 말고 해당 조직의 웹사이트로 직접 이동하세요.
바이러스 백신 소프트웨어를 최신 상태로 유지
바이러스 백신 소프트웨어는 피싱 공격을 탐지하고 차단할 수 있지만, 최신 버전일 경우에만 가능합니다. 오래된 소프트웨어는 최신 피싱 사기를 인식하지 못해 동일한 공격에 취약할 수 있습니다. 따라서 바이러스 백신 소프트웨어를 정기적으로 확인하여 최신 상태이고 올바르게 작동하는지 확인하세요. 또한 운영 체제 및 웹 브라우저와 같은 다른 소프트웨어도 최신 상태로 유지하는 것을 잊지 마세요.
마지막으로, 온라인에서 개인 정보를 제공할 때 주의하세요. 피싱 범죄자는 합법적인 비즈니스로 위장하여 사용자를 속여 민감한 정보를 공개하도록 유도할 수 있습니다. 따라서 신뢰할 수 있는 웹사이트에만 개인 정보를 제공해야 합니다.
DMARC를 사용하여 이메일 인증하기
피싱 이메일은 이메일 스팸 필터를 통해 받은 편지함에서 차단할 수 있지만, 해커들은 이러한 필터를 우회하기 위해 끊임없이 시도하고 있습니다. 전 세계적으로 약 50억 개의 계정이 있는 이메일보다 더 광범위한 도달 범위를 가진 채널은 없습니다. 따라서 공격자들은 이메일을 악의적인 의도를 위한 경로로 선호합니다.
스팸 필터가 해결하지 못하는 문제를 해결하기 위해 DMARC가 개입하는 곳입니다.
DMARC 은 위조된 비즈니스 도메인으로 인한 이메일 스푸핑 및 피싱 공격에 대응하기 위해 설계되었습니다. DMARC는 이메일 채널에 대한 완벽한 가시성을 제공할 뿐만 아니라 피싱 공격을 명백하게 보여줍니다. 지속적인 모니터링과 소스 확인을 통해 피싱 공격의 영향을 줄이고, 스푸핑을 방지하고, 브랜드 남용 및 사기를 방지하고, 비즈니스 이메일이 손상되지 않도록 보호할 수 있습니다.
구현 세부 사항에 익숙하지 않거나 배포 시간과 노력을 절약하고자 하는 조직은 다음을 사용할 수 있습니다. DMARC 분석기 를 사용하여 배포 프로세스를 간소화할 수 있습니다.
도메인에 대한 DMARC 레코드를 생성하면 피싱 공격으로부터 브랜드와 고객을 보호할 수 있습니다.
DMARC 레코드에는 네 가지 주요 구성 요소가 포함되어 있습니다:
- DMARC 정책
- SPF 정렬
- DKIM 정렬
- 보고 옵션
DMARC DMARC 정책 은 DMARC 실패 시 수신 이메일을 처리하는 방법을 지정합니다. SPF 정렬 은 인증된 IP 주소에서만 전송된 이메일이 DMARC 검사를 통과하도록 보장합니다. DKIM 정렬 이메일의 서명 도메인을 확인합니다. 보고 옵션DMARC 보고서를 전송할 위치를 지정합니다.
마지막 말
개인과 기업 모두 피싱에 취약합니다. 피싱은 개인 계정 해킹과 비즈니스 네트워크 침입으로 이어집니다. 또한 서비스형 피싱은 기술 수준에 관계없이 누구나 이러한 공격을 수행할 수 있도록 허용함으로써 이 문제를 더욱 악화시킵니다.
PhaaS는 피싱 공격의 빈도를 증가시킬 뿐만 아니라 각 공격의 성공 가능성도 높입니다. 하지만 좋은 소식은 피해를 줄일 수 있는 방법이 있다는 것입니다! PowerDMARC 팀은 서비스형 피싱에 대한 방어 체계를 다른 어떤 솔루션보다 빠르게 구축할 수 있도록 DMARC 구현 여정의 모든 단계에서 도움을 드릴 수 있습니다! 지금 바로 무료 DMARC 평가판을 사용하여 직접 경험해 보세요.
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일
- 암호화폐 사기에 대처하는 이메일 안전 101 - 2024년 4월 30일
- 비즈니스에 가장 적합한 DMARC 솔루션 제공업체를 찾는 방법은? - 2024년 4월 25일