비즈니스 이메일 침해에 대한 정의를 바로 살펴보자면, 해커가 회사 이메일 계정에 액세스하여 계정 소유자의 신원을 도용하여 회사에 사기를 저지르는 경우 비즈니스 이메일 침해(BEC)가 발생합니다. 피해자의 이메일 계정을 탈취하는 것은 신뢰할 수 있습니다.
공격자는 회사 네트워크에 있는 이메일 주소와 거의 동일한 이메일 주소로 계정을 설정하는 경우가 많습니다. BEC는 "이메일 공격자(man-in-the-e-mail)"라고도 불립니다.
FBI가 비즈니스 이메일 침해(BEC)를 '260억 달러 규모의 사기'로 분류한 것은 놀라운 일이 아닙니다. 침해당 510만 달러그리고 그 위협은 계속 커지고 있습니다. 비즈니스 이메일 침해(BEC) 공격은 가상의 또는 합법적인 비즈니스 이메일 주소를 사용하는 직원을 대상으로 합니다. 이상 18억 달러 이 넘는 금액이 2020년에 다른 어떤 형태의 사이버 범죄보다 더 많은 BEC 사기꾼들에 의해 벌어들여졌습니다.
비즈니스 이메일 침해란 무엇이며 어떻게 작동하나요?
BEC 공격에서 위협 행위자는 직원 또는 신뢰할 수 있는 파트너로 위장합니다. 이들은 피해자에게 기밀 정보에 대한 액세스 권한을 부여하거나 돈을 송금하는 등의 행동을 하도록 설득합니다. 비즈니스 이메일 침해에 대한 지식이 증가했음에도 불구하고 위협 행위자들은 계속해서 성공을 거두고 있습니다.
비정상적인 소비자를 대상으로 한 이러한 공격의 빈도는 2021년 상반기와 하반기 동안 무려 84% 증가했습니다. 그럼에도 불구하고 2021년 하반기에는 공격 비율이 메일함 1,000개당 0.82건으로 증가했습니다.
비즈니스 이메일 침해 공격의 주요 유형은 무엇인가요?
FBI에 따르면 BEC 사기의 주요 유형은 다음과 같습니다:
가짜 자선 단체
BEC 공격에서 가장 흔한 형태 중 하나는 가치 있는 대의를 위해 모금을 하고 있다고 주장하는 가짜 자선단체에서 이메일을 보내는 것입니다. 이러한 이메일에는 바이러스 및 기타 멀웨어로 컴퓨터를 감염시키도록 설계된 악성 소프트웨어가 포함된 첨부 파일이 포함되어 있는 경우가 많습니다.
여행 문제
또 다른 일반적인 BEC 사기는 가짜 여행사에서 항공편 또는 호텔 예약에 문제가 발생했다고 주장하는 이메일을 보내는 것입니다. 보통 누군가가 막판에 예약을 취소했기 때문입니다. 이메일에 포함된 첨부 파일이나 링크를 클릭하여 여행 브로셔를 업데이트하라는 메시지가 표시됩니다. 이 경우 실수로 컴퓨터에 멀웨어가 설치되거나 해커가 기기에 저장된 민감한 데이터에 액세스하도록 허용할 수 있습니다.
세금 위협
이 공격은 피해자가 돈을 지불하지 않으면 정부 기관이 법적 또는 공식적인 조치를 취하겠다고 협박하는 방식입니다. 이러한 사기에는 법적 처벌을 피하기 위해 가짜 송장 및 지불 요청이 포함되는 경우가 많습니다.
변호사 사칭
이러한 이메일은 변호사가 체포되었거나 다른 사람이 빚진 돈을 받으려고 하는 등 법적 문제와 관련하여 사용자의 도움이 필요하다고 주장합니다. 이러한 경우 사기범은 해당 법적 문제(예: 송금)를 '도와줄 수 있다'며 사용자의 개인 정보를 요청합니다.
가짜 송장 사기
이 사기에서는 한 사업체가 다른 사업체에 대개 상당한 금액의 청구서를 보냅니다. 인보이스에는 수신자가 받지 않은 서비스나 물품에 대한 대금을 지불해야 한다고 명시되어 있습니다. 가짜 인보이스를 지불하기 위해 송금을 요청할 수 있습니다.
데이터 도난
이 사기는 회사에서 민감한 데이터를 훔쳐 경쟁업체나 기타 이해관계자에게 판매하는 것을 포함합니다. 도둑들은 또한 요구 사항을 따르지 않을 경우 데이터를 공개하겠다고 협박할 수도 있습니다.
BEC 공격은 어떻게 작동하나요?
BEC 공격의 작동 방식은 다음과 같습니다:
- 스푸핑된 이메일 계정 또는 웹사이트 - 공격자는 합법적으로 보이는 이메일 주소 또는 웹사이트를 스푸핑합니다. 공격자는 이 계정으로 은행 계좌 번호 및 비밀번호와 같은 금융 정보를 요구하는 피싱 이메일을 하나 이상 발송합니다. DMARC를 사용하면 해커가 도메인을 스푸핑하는 것을 방지하는 데 도움이 될 수 있습니다.
- 스피어 피싱 이메일 - 스피어 피싱 이메일은 직장의 직원에게 직접 보내는 고도로 표적화된 이메일입니다. 회사 내 누군가(예: 임원)가 보낸 내부 커뮤니케이션으로 위장하는 경우가 많으며, '긴급 송금' 또는 '긴급 송장'과 같은 제목에 민감한 데이터를 즉시 요청하는 내용이 포함되어 있습니다.
- 멀웨어 사용 - 공격자는 피해자의 컴퓨터에 악성 소프트웨어(멀웨어)를 설치하여 활동을 추적하고 키 입력을 캡처하거나 스크린샷을 찍는 데 사용할 수 있습니다. 공격자가 컴퓨터에 물리적으로 액세스할 수 있는 경우 컴퓨터 시스템에 키로거가 설치될 수도 있습니다.
비즈니스 이메일 유출을 방지하려면 어떻게 해야 하나요?
BEC 공격이 성공하면 비즈니스에 막대한 비용이 발생하고 심각한 피해가 발생할 수 있습니다. 하지만 다음과 같은 몇 가지 간단한 단계를 수행하면 이러한 공격을 방지할 수 있습니다:
1. DMARC로 도메인 보호
이러한 BEC 이메일은 다음을 활용하여 차단할 수 있습니다. DMARC. 조직은 프로토콜을 사용하여 발신자 확인 및 도메인 정렬을 통해 도메인을 대신하여 이메일을 보내는 소스를 식별하고 이메일 채널에 대한 향상된 가시성을 확보할 수 있습니다. 조직은 이 정보를 사용하여 신뢰할 수 있는 모든 출처가 올바르게 검증되었는지 확인할 수 있습니다. 조직은 p=거부 DMARC 정책를 구현할 수 있습니다.
이 정책을 사용하면 모든 악성 이메일이 거부되어 더 이상 수신자의 받은 편지함에 도달하지 않으므로 비즈니스 이메일 침해 이메일이 고객에게 도달할 위험을 줄일 수 있습니다.
2. 피싱 방지 보호
수신 이메일에서 네트워크를 감염시킬 수 있는 악성 링크와 첨부파일을 검사하는 피싱 방지 소프트웨어를 사용하세요.
3. 업무 분리
중요한 기능을 한 사람이 혼자서 수행하지 않도록 하세요. 이렇게 하면 직원이 승인되지 않은 작업을 강제로 수행하도록 강요당할 위험을 줄일 수 있습니다.
4. 외부 이메일에 라벨 지정
모든 외부 이메일에 해당 레이블을 지정하거나 보안 이메일 게이트웨이를 통해 전달하여 조직 네트워크 내에서 직접 보낸 것처럼 보이지 않도록 하세요.
5. 이메일 주소를 주의 깊게 살펴보세요.
이메일 주소를 주의 깊게 살펴봅니다. 아는 사람이 보낸 것이라면 이메일을 열어 읽어보세요. 모르는 사람이 보낸 것이라면 왜 연락을 하는지 물어봅니다. 또한 이메일 제목에 이메일에 대한 정보가 포함되어 있는지 확인하세요. 제목은 받은 편지함에 있는 내용과 일치해야 합니다.
6. 직원 교육
BEC 공격에 대한 최선의 방어책은 직원 교육입니다. 직원들은 BEC의 위협, 작동 방식, 표적이 될 수 있는 방법에 대해 교육받아야 합니다. 또한 비즈니스 이메일 사용 및 인증된 이메일 사용자에 대한 회사의 정책도 숙지해야 합니다. 모의 피싱 테스트를 구현하고 그 결과를 직원 기록 소프트웨어에 추가하면 추가 보안 인식 교육이 필요한 직원에 대해 데이터에 기반한 현명한 결정을 내릴 수 있습니다.
결론
비즈니스 이메일 침해 사기는 가장 진보된 보안 조치도 교묘히 피해가며, 보통 의심하지 않는 CEO나 CFO를 이메일 한 통으로 함정에 빠뜨립니다. 결국, BEC는 비즈니스 세계에서 여전히 널리 퍼져 있는 매우 교활한 공격 벡터입니다. 그렇기 때문에 매우 주의해야 합니다.
사용 DMARC 분석기 도구를 사용하여 도메인의 이메일이 제대로 전달되는지 확인하고 가짜 이메일을 보내지 않도록 하세요. 스푸핑을 중단하면 브랜드를 보호하는 것 이상의 효과를 얻을 수 있습니다. 비즈니스의 생존을 보장하는 것입니다.
- 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일