피싱은 2024년 인터넷 범죄 신고 센터(새 창)에 보고된 가장 흔한 사이버 범죄였습니다. 저희는 블로그에서 피싱이 무엇인지에 대해 쓰고 설득력 있는 피싱 이메일의 몇 가지 예를 들었지만, 사이버 범죄자들은 수익을 최대화하기 위해 항상 공격 방식을 조정하고 있습니다.

더 효과적인 버전의 피싱은 공격자가 특정 사람들을 표적으로 삼는 경우로, 이를 웨일링 또는 스피어 피싱이라고 합니다. 피싱은 개인이나 기업을 표적으로 삼을 수 있지만, 웨일링과 스피어 피싱은 특히 기업 내 사람들을 표적으로 삼습니다. 이러한 용어의 차이점, 발견 방법 및 자신을 보호하는 방법을 이해하는 것이 중요합니다.

웨일링, 피싱, 스피어 피싱의 차이점은 무엇인가요?

피싱은 해커가 여러분을 속여 민감한 정보를 공유하도록 유도하는 방법입니다. Amazon, Google 또는 PayPal과 같은 서비스로부터 계정이 동결되었다는 의심스러운 이메일을 받은 적이 있다면, 피싱 시도의 표적이 된 것입니다. 이러한 공격은 광범위하며 가능한 한 많은 응답을 얻는 것을 목표로 합니다. 개인 이메일 주소와 업무용 이메일 주소 모두로 받게 됩니다.

스피어 피싱과 웨일링 공격은 피싱과 동일한 전술을 사용하지만, 기업 내 훨씬 더 작고 구체적인 표적 집단에 배포합니다. 두 공격 유형 모두 넓게 보면 피싱 범주에 속하지만, 해커의 표적이 그들이 사용하는 전술에 어떤 영향을 미치는지 이해할 가치가 있습니다.

스피어 피싱이란 무엇인가요?

스피어 피싱은 피싱 공격에 사용되는 것과 동일한 광범위한 기술을 특정 개인에게 맞춤화합니다. 스피어 피싱의 표적이 된 개인은 종종 법무 또는 재무 부서에서 일하며, 특히 민감하고 가치 있는 데이터에 접근할 수 있습니다.

Barracuda Networks(새 창)가 발표한 연구에 따르면, 스피어 피싱 공격의 80% 이상이 브랜드 사칭을 포함합니다. 360,000건의 피싱 이메일을 3개월 동안 분석한 결과, 이 회사는 Microsoft와 Apple이 가장 많이 사칭되는 브랜드이며, 공격은 화요일과 목요일 사이에 가장 많이 발생하고 세금 시즌과 같은 이벤트 전후로 급증한다는 사실을 발견했습니다. 사기꾼들의 이러한 수준의 계획은 그들이 직원을 얼마나 면밀히 연구하고 공격을 계획하는지 보여줍니다.

이 보고서는 스피어 피싱 공격에 사용되는 상위 3개 제목 줄이 다음의 변형임을 시사합니다.

  1. 요청
  2. 후속 조치
  3. 긴급/중요

제목 줄이 긴박감을 조성하거나 이미 보낸 사람과 연락을 취했다는 인상을 주는 것은 놀라운 일이 아닙니다. 스피어 피싱 공격에는 정치적 동기가 있을 수도 있습니다. 2024년 Microsoft는 미국 선거에 대한 이란의 개입과 관련된 정보(새 창)를 공개했습니다. 대선 캠페인의 고위 관리를 표적으로 삼은 공격을 시작하기 위해 전직 고위 고문의 Microsoft Hotmail 계정이 유출되었습니다.

웨일링이란 무엇인가요?

스피어 피싱이 여러 고위급 인사를 표적으로 삼는다면, 웨일링은… 말 그대로 고래를 표적으로 삼습니다. 웨일링은 사실상 CEO나 CFO와 같은 매우 가치 있는 표적을 겨냥한 스피어 피싱입니다. 이러한 공격은 고도로 개인화되어 있으며 꼼꼼하게 연구됩니다. 사이버 범죄자들은 돈을 벌 수 있을 뿐만 아니라 IP나 투자자 정보와 같은 민감한 데이터에 접근하여 표적을 협박하고 막대한 평판 피해를 입힐 수 있습니다.

웨일링 공격은 효과적으로 계획하는 데 수년은 아니더라도 수개월이 걸리며, 범죄자들은 혼란을 악용하기 위해 격동적인 이벤트를 겪고 있는 기업을 표적으로 삼습니다. 2015년 공격자들은 Mattel이 구조 조정을 하고 지불 정책을 변경하는 동안 정교한 웨일링 공격(새 창)으로 C레벨 임원들을 표적으로 삼았습니다. 재무 담당 임원은 회사의 새로운 CEO로부터 Mattel이 확장하려는 국가인 중국의 새로운 공급업체에 지불을 요청하는 쪽지를 받았습니다. 지불 정책 변경에 따라 이체는 Mattel 내 두 명의 고위 관리자의 승인이 필요했기 때문에 수신인은 승인했고 이체가 이루어졌습니다. 돈이 사라진 후에야 임원은 요청을 하지 않은 새 CEO에게 지불에 대해 언급했습니다.

5월 1일이 중국의 은행 공휴일이었던 덕분에 Mattel은 도난당한 자금이 들어 있는 계정을 동결할 수 있었고, 이틀 만에 돈을 복구했습니다. 하지만 이 고도로 표적화된 공격으로 Mattel은 이메일 한 통으로 300만 달러의 비용을 치를 뻔했습니다.

웨일링 vs 스피어 피싱

세 가지 유형의 공격 간의 차이점을 요약하면 다음과 같습니다.

피싱일반적인 공격으로 모든 사람을 표적으로 삼음
스피어 피싱특정 공격으로 특정 사람들을 표적으로 삼음
웨일링개인화된 공격으로 VIP와 비즈니스 리더를 표적으로 삼음

표적의 구체성은 각 공격에 들어가는 연구와 타겟팅의 양을 결정합니다. 하지만 공격 유형에 관계없이 해커가 계획하고 실행하는 데 따르는 유사한 프로세스가 있습니다.

웨일링이나 스피어 피싱 공격의 과정은 어떻게 되나요?

  1. 정찰: 해커는 표적의 온라인 활동을 조사하여 표적이 반응할 가능성이 높은 유발 요인 프로필을 만듭니다. 여기에는 소셜 미디어 프로필, 비즈니스 웹사이트 및 표적이 온라인에 나타날 수 있는 기타 모든 장소가 포함됩니다. 또한 데이터 브로커와 잠재적으로 다크 웹을 사용하여 개인 정보를 획득합니다.
  2. 미끼 제작: 그런 다음 해커는 공격 계획을 짭니다. 그들은 동료, 타사 서비스 또는 정부 기관인 것처럼 표적을 확신시키도록 설계된 이메일을 만듭니다. 그들은 비즈니스 내에서 더 광범위하게 피싱을 하여 표적을 속이기 위해 가능한 한 많은 정보를 수집합니다.
  3. 전달: 공격자는 표적에게 맞춤형 이메일을 보내기 합니다. 송장처럼 보일 수 있으며 악성 웹사이트로 연결되는 링크가 포함되어 있어 독자가 결제 세부사항을 입력하도록 유도하거나 비즈니스 IT 부서에서 로그인 및 비밀번호를 요청하는 것일 수 있습니다.
  4. 악용: 이메일에 멀웨어 또는 랜섬웨어가 로드되어 있거나, 스푸핑된 사이트로 링크되거나, 자격 증명, 민감한 정보 또는 결제를 요청할 수 있습니다. 해커가 접근 권한을 얻은 후 네트워크를 악용하는 방법은 백도어 접근 권한을 설정하고 자신에게 관리자 권한을 부여하는 등 여러 가지가 있습니다.
  5. 영향: 공격이 성공하면 해커는 더 많은 접근 권한을 얻기 위해 피싱을 계속하거나 거래를 시작하거나 데이터를 다운로드하거나 계정을 탈취하기 시작할 것입니다. 회사는 금전적 손실, 데이터 보안 사고, 평판 손상 또는 이 모든 것에 직면하게 됩니다.

공격은 다양한 형태로 나타나므로 항상 경계하기가 어렵습니다. 일반적으로 역할이 고위직이거나 접근할 수 있는 민감한 데이터가 많을수록 확인이 더 중요해집니다.

공격으로부터 자신을 어떻게 보호할 수 있나요?

사이버 공격으로부터 자신을 보호하는 데는 두 가지 부분이 있습니다: 비즈니스 인프라와 자신의 인식입니다.

먼저 개인적으로 할 수 있는 일을 살펴보겠습니다.

  • 신뢰하되 확인하세요. 결제나 민감한 데이터 접근 권한 부여와 관련된 요청을 받으면, 요청을 보낸 것으로 추정되는 사람과 이야기하는 것이 가장 좋습니다. 이전에 만난 적이 있는 사람이라면 전화를 걸거나 직접 만나서 요청이 정당한지 확인하세요. 만난 적이 없다면 인맥이 있는 동료나 해당 회사의 상급자와 같은 신뢰됨 채널을 통해 신원을 확인하세요.
  • 긴급함 때문에 실수하지 마세요. 사기꾼은 가짜 긴급함을 사용하여 빠른 결정을 내리도록 유도합니다. 요청을 확인하기 위해 기다리는 것은 후회하지 않겠지만, 확인하지 않은 것은 후회할 수 있습니다.
  • 보낸 사람의 이메일 주소를 면밀히 확인하세요. 해커가 이메일이 정당한 보낸 사람에게서 온 것처럼 보이게 만드는 것을 이메일 스푸핑이라고 합니다. 도메인 이름이 올바른지, 이메일 주소 자체에 철자 오류가 없는지 확인하세요. 이메일 스푸핑으로부터 자신을 보호하는 방법에 대해 더 알아보세요.

  • 팀에게 피싱 공격의 위험성에 대해 교육하세요. 단 한 통의 성공적인 피싱 이메일도 비즈니스에 치명적인 결과를 초래할 수 있습니다.

잠재적인 위협을 인식한다는 것은 받는 모든 이메일을 의심한다는 의미가 아니라, 자신과 직장을 보호하기 위한 조치를 취하고 있는지 확인한다는 의미입니다.

Proton이 위험을 줄이는 데 도움이 되는 방법

직장을 보호하는 또 다른 효과적인 방법은 데이터에 대한 통제권을 유지하는 데 도움이 되는 안전한 종단 간 암호화된 도구를 채택하는 것입니다.

  • Proton Pass는 비즈니스 비밀번호를 생성, 저장 및 관리하는 데 도움이 되는 보안 비밀번호 관리자입니다. 팀이 자격 증명을 안전하게 공유할 수 있게 하면 모두가 로그인이나 데이터에 대한 부당한 요청을 식별하는 데 도움이 됩니다. 누군가 Proton Pass에서 안전하게 공유하는 대신 비밀번호를 이메일로 보내달라는 요청을 받으면 해당 요청을 의심스러운 것으로 표시할 수 있습니다. 또한 데이터가 다크 웹에 나타나면 즉시 알림을 받아 피싱 시도를 방지하기 위한 조치를 취할 수 있습니다.
  • Proton Mail은 비즈니스 이메일을 보호하는 보안 이메일 및 캘린더입니다. 당사의 고급 피싱 보호 기능인 PhishGuard는 잠재적으로 스푸핑된 이메일 주소를 표시하여 피싱 시도로부터 귀하를 방어합니다. 의심스러운 로그인이나 계정 변경은 자동으로 식별되어 귀하에게 표시되며, 링크 보호는 피싱 링크를 실수로 여는 것을 방지하기 위해 열기 전에 전체 URL을 볼 수 있도록 도와줍니다.

웨일링, 스피어 피싱 및 피싱 공격으로부터 자신과 비즈니스를 보호할 준비가 되었다면, 오늘 어떤 Proton 요금제가 가장 적합한지 알아보세요.