secure-paypa1.comSign inusernamepassword!

피싱

11 분 읽음보안

피싱은 가장 오래되고 확장 가능한 인터넷 공격이며 여전히 가장 성공적인 공격입니다. 이는 소프트웨어가 아니라 인간의 패턴 일치, 즉 친숙한 로고, 그럴듯한 발신자, 일상적으로 느껴지는 요청을 활용합니다. 플레이북을 이해하는 것이 방어의 대부분입니다. 기술 패치는 사람들의 클릭에 의존하지 않는 작은 부분만 닫습니다.

전체 기사 본문은 아래에 영어로 제공됩니다.

Phishing는 은행, 고용주, ​​기술 제공업체 등 신뢰할 수 있는 기관을 사칭하여 대상을 속여 자격 증명을 공개하거나 맬웨어를 설치하거나 돈을 보내도록 하는 수법입니다. 매체는 이메일에서 SMS("스미싱"), 음성 통화("vishing"), QR 코드("quishing") 및 광고로 확장되었지만 구조는 일정합니다. 사기성 발신자, 긴급 상황, 저마찰 작업.

표준 플레이북

거의 모든 피싱 시도는 동일합니다. 패턴:

  1. Pretext. 메시지의 그럴듯한 이유: "귀하의 계정이 잠길 것입니다." "패키지에 배송 확인이 필요합니다." "이 문서에 서명하십시오."
  2. Urgency. 주의 깊게 읽을 수 없게 만드는 시간 압박: "24시간 이내", "즉각적인 조치 필요", "최종 공지."
  3. 스푸핑된 신원. 보낸 사람 이름, 로고, 실제 조직을 모방한 형식입니다. 이메일에서 보낸 헤더는 쉽게 위조될 수 있습니다. 표시되는 이름은 발신자가 선택하는 것입니다.
  4. Action target. 자격 증명 수집 페이지에 대한 링크, 악성 코드가 포함된 첨부 파일 또는 전화할 전화 번호.

기술은 미묘합니다. 가장 조잡한 피싱(깨진 영어, 일반적인 주소 지정)은 필터링됩니다. 최고의 피싱은 표적으로 삼고("스피어 피싱") 실제 내부 용어, 실제 이름 및 상황별 타이밍을 사용합니다.

자격증명이 이동하는 곳

사용자 이름과 비밀번호를 캡처하는 피싱 페이지는 일반적으로 세 가지 아키텍처 중 하나를 사용합니다.

  • 정적 자격 증명 캡처. 이 페이지는 사용자가 기록하는 내용을 기록합니다. 입력하고 중지합니다. 공격자는 나중에 자격 증명을 사용합니다. 사이트에 2FA가 있으면 쓸모가 없습니다.
  • 실시간 릴레이(중간자). 페이지는 모든 키 입력을 실시간으로 실제 사이트에 전달하여 사용자가 입력하는 비밀번호와 두 번째 요소를 캡처합니다. Evilginx와 같은 프레임워크는 이를 자동화합니다. 하드웨어 키 2FA가 이를 극복합니다. TOTP 및 SMS는 그렇지 않습니다.
  • 세션 토큰 도난. 위와 결합하여 공격자는 인증 후 세션 쿠키를 캡처하고 브라우저에서 이를 재생하여 세션이 만료될 때까지 2FA를 완전히 우회합니다.

피싱이 기술적으로 중지하기 어려운 이유

공격자 익스플로잇이 필요하지 않습니다. 대상과 같은 looks 도메인이 필요합니다. 3가지 무기:

  • Lookalike 도메인:paypal.com 대신 secure-paypa1.com 또는 동일하게 렌더링되는 키릴 문자를 사용하는 동형문자 공격(키릴 문자가 포함된 аpple.com) 'a').
  • 하위 도메인 채우기: microsoft.com.update-fr.tk — 많은 사용자는 가장 왼쪽에 인식되는 단어만 읽습니다.
  • 합법적인 호스팅: Google 사이트, Microsoft OneDrive, Cloudflare의 무료 계층에서 호스팅되거나 손상된 Phish 페이지 합법적인 사이트. TLS 인증서는 실제입니다. URL은 피상적인 검사를 통과합니다.

Email 인증 표준(SPF, DKIM, DMARC)은 보내는 서버가 보낸 사람 도메인에 대해 승인되었는지 확인합니다. 그들은 수신자에게 표시되는 표시 이름를 확인하지 않습니다. 이는 대부분의 사용자가 실제로 읽은 내용입니다.

피싱 방어

가장 높은 레버리지 레이어를 먼저 사용하는 계층화된 방어:

  • 하드웨어 키 2FA(FIDO2). 키 서명이 실제 도메인에 바인딩되어 있기 때문에 중간자 피싱을 물리치는 단일 기술 개입입니다. 가짜 사이트는 실제 도메인에 대한 유효한 서명을 생성할 수 없습니다.
  • 원본 일치 채우기가 있는 비밀번호 관리자. 비밀번호 관리자는 잘못된 도메인에 대한 자격 증명 입력을 거부합니다. 채울 수 없다면 이는 신호입니다.
  • DMARC 시행. 조직이 p=reject의 DMARC 정책을 게시하면 메일 서버는 자신이 보낸 것처럼 주장하는 인증되지 않은 메일을 삭제합니다. 주요 사칭 유형을 차단합니다.
  • Browser 피싱 방지. Chrome의 세이프 브라우징, Edge의 스마트 화면, Firefox 및 Safari의 해당 기능 — 알려진 피싱 URL을 차단합니다. 적용 범위는 반응적이지만(URL을 먼저 보고해야 함) 가장 일반적인 키트로 인한 손상을 줄입니다.
  • 사용자 인식. 변경은 가장 느리지만 중요합니다. 가장 좋은 습관은 긴급한 일이 있을 때 메시지의 링크를 클릭하지 말고 저장된 북마크를 통해 직접 서비스로 이동하거나 URL을 입력하여 서비스로 이동하는 것입니다.

최신 개척자

Generative AI는 저품질 피싱에 대한 언어적 정보를 제거했습니다. 이제 타겟 이메일에는 원어민의 유창한 문장, 공개 소스에서 가져온 상황별 참조, 대규모의 설득력 있는 개인화가 포함됩니다. 음성 복제를 사용하면 "CEO"가 실제 CEO와 똑같이 들리는 전화 피싱이 가능합니다. 방어자들은 더 강력한 2FA, 더 폭넓은 DMARC 채택, 더 나은 브라우저 경고로 대응하고 있지만 공격 품질과 방어 사이의 격차는 과거 어느 때보다 좁습니다.

가장 신뢰할 수 있는 사용자 수준 습관은 여전히 ​​남아 있습니다. 자격 증명에 대한 시간 압박에 따라 행동하라는 메시지가 나타나면 속도를 늦추십시오. 대부분의 피싱은 두 번째 채널을 확인하는 순간 사라집니다.

자주 묻는 질문

이메일이 피싱인지 어떻게 알 수 있나요?
표시 이름뿐만 아니라 실제 보낸 사람 주소를 확인하고, 링크 위에 마우스를 올려 실제 URL을 확인하고, 조직의 일반적인 스타일과 일치하지 않는 문법 및 형식을 찾으세요. 가장 강력한 신호는 자격 증명과 관련된 사항에 대해 긴급하게 조치를 취하라는 요청입니다. 실제 조직에서는 이메일 링크를 통해 그렇게 하는 경우가 거의 없습니다.
VPN은 피싱으로부터 보호하나요?
아니요. 피싱은 애플리케이션 계층에서 작동합니다. 사용자는 가짜 사이트에 자발적으로 자격 증명을 입력합니다. VPN은 네트워크 ID를 변경하지만 콘텐츠를 필터링하거나 페이지가 진짜인지 평가하지는 않습니다. 피싱 방지에는 사이트에 바인딩된 인증 메커니즘(하드웨어 키)이나 감시가 필요합니다.
스피어피싱이란?
특정 개인이나 소규모 그룹을 겨냥한 표적 피싱으로, 신뢰도를 높이기 위해 실명, 프로젝트 또는 최근 사건을 사용하는 경우가 많습니다. 대량 피싱에서는 "고객님에게"를 사용할 수 있습니다. 스피어 피싱은 귀하의 이름, 팀, 고객을 사용합니다. 자동으로 필터링하는 것이 훨씬 더 어렵습니다.
피싱 링크를 클릭했는데 아무것도 입력하지 않은 경우 문제가 발생하나요?
아마도 그렇지 않을 것입니다. 하지만 확인해보세요. 페이지는 로드되는 순간 드라이브 바이 공격을 시도하거나, 브라우저에 지문을 등록하거나, 추적 쿠키를 설정할 수 있습니다. 완전히 패치된 브라우저를 사용하고 권한을 부여하지 않은 경우 위험은 낮습니다. 로그인했거나 파일을 다운로드한 경우 해당 계정을 손상된 것으로 간주하고 비밀번호를 교체하세요.
피싱과 파밍의 차이점은 무엇입니까?
피싱은 사용자를 속여 가짜 사이트를 방문하도록 합니다. 파밍은 사용자의 DNS를 변경하여 합법적인 URL이 가짜 사이트로 연결되도록 합니다. 일반적으로 라우터 악성 코드, DNS 하이재킹 또는 호스트 파일 편집을 통해 이루어집니다. 파밍은 더 깊은 시스템 액세스가 필요하기 때문에 더 드물지만, 사용자가 잘못된 URL을 볼 일이 없기 때문에 파밍이 작동할 때 더 효과적입니다.
피싱에 대한 설명: 계속 작동하는 공격의 분석