실제 사례를 통해 피싱 시도를 인식하는 방법

소개

최근 Interpol 보고서에 따르면 전 세계적으로 피싱이 증가하고 있습니다. 여기에서는 사기꾼이 일반적으로 암호화폐 사용자를 피싱하는 방법과 자신을 보호하는 방법에 대한 예를 보여줍니다.

주요 내용:

• 피싱은 해커와 사기꾼이 순진한 사용자를 유인하여 자격 증명 및/또는 중요한 정보를 제공하도록 하는 ‘사회 공학’ 기술입니다.
• 피싱은 이메일 피싱, SMS 피싱, 음성 통화 피싱 등 여러 형태로 발생할 수 있습니다.
• 피싱은 부정확성, 긴박감, 보안 기능 부족, 개인 정보 요청과 같은 몇 가지 숨길 수 없는 신호로 인식할 수 있습니다.
• 피싱으로부터 자신을 보호하려면 건전한 회의론과 모든 메시지, 이메일 및 링크를 주의 깊게 검사해야 합니다.

피싱이란 무엇입니까?

피싱은 생년월일, 주소, 이메일 사용자 이름 및 암호 조합, 온라인 뱅킹 정보, 기업 계정 등 개인 식별 정보( PII )와 같은 민감한 정보를 훔치기 위해 사기꾼이 무의식적인 사용자를 대상으로 하는 공격 수단 중 하나입니다. 그리고 궁극적으로 그들의 자금.

피싱은 해킹 기술을 사용하여 사용자의 장치나 계정에 침입을 시도하는 대신 무의식적인 사용자를 속여 자격 증명 및/또는 자금을 자발적으로 넘겨주도록 하는 ‘사회 공학’의 한 형태입니다.

일반적인 피싱 공격에서 사용자는 일반적으로 조직 웹사이트의 정교한 복제본, SMS 알림, 이메일, 또는 전화 통화. 이러한 공격은 사용자가 자격 증명, 암호 또는 복구 문구와 같은 중요한 정보를 제공하도록 유도할 수 있습니다.

피싱 공격은 특정 조직의 직원이나 구성원 또는 특정 서비스의 사용자에 대해 조정될 수 있습니다. 일반적으로 공격자는 데이터 유출 사고 후 고객 정보를 획득한 다음 피싱 공격으로 동일한 고객을 대상으로 삼습니다. 다른 경우 공격은 전화번호 블록, 자동으로 생성된 이메일 주소 또는 구독자로부터 메일링 리스트에 대해 불법적으로 얻은 이메일 주소 목록을 대상으로 하는 무작위 공격일 수 있습니다.

피싱 공격의 목표는 단기적일 수도 있고 장기적일 수도 있습니다. 단기 목표에는 피해자 장치에 랜섬웨어를 배포하고 데이터를 해독하기 위해 몸값을 요구하거나 피해자 계정에서 자금을 훔치는 것이 포함됩니다.

장기적인 목표에는 피해자 조직의 회사 네트워크/시스템에 대한 액세스 권한 획득, 장기적이고 지속적인 이득 또는 감시 및 갈취를 위해 피해자 시스템에 맬웨어 배포가 포함됩니다.

피싱 유형

피싱은 다음과 같은 다양한 채널을 통해 발생할 수 있습니다.

• 이메일
• SMS(‘스미싱’이라고도 함)
• 소셜 미디어 및 인스턴트 메시징
• 전화 통화/음성 통화(‘비싱’이라고도 함)

1. 이메일: “이 링크를 클릭하여 피하십시오…”

이메일 피싱 공격에서 공격자는 일반적으로 잠재적 피해자가 결과를 피하기 위해 링크를 클릭하도록 요구하는 ‘행동 촉구’와 함께 진짜 출처에서 온 것처럼 보이는 이메일을 보냅니다.

예를 들어, 공격자는 은행을 스푸핑하고 로그온하여 계정을 다시 활성화하도록 요구하는 이메일을 보낼 수 있습니다. 그렇지 않으면 계정이 일시 중지되고 자금에 대한 액세스 권한이 손실될 수 있습니다. 다른 경우에는 공격자가 연체료 및 추가 요금을 피하기 위해 송장을 지불하는 것과 같은 즉각적인 조치를 요구하는 연체 송장을 서비스 공급자로부터 보낼 수 있습니다.

피싱 공격자는 메시지를 가능한 한 합법적인 메시지에 가깝게 만들기 위해 대상 조직과 동일한 로고, 색 구성표 및 글꼴을 포함하는 정교한 디자인을 사용할 수 있습니다.

보낸 사람을 자세히 살펴보십시오.

또한 피싱 공격자는 발신 이메일 주소(예: [email protected] ) 를 추가하거나 사용자에게 필요한 링크를 조작하여 메시지가 합법적인 출처에서 온 것처럼 보이게 하는 정교한 방법을 사용할 수 있습니다. 유사한 방식으로 클릭합니다.

다른 경우에 공격자는 ‘동형이의어 공격’이라는 또 다른 기술을 사용할 수 있습니다. 이 기술에서는 영어 알파벳이 아닌 다른 언어의 문자가 비슷하게 보이는 병렬 도메인 이름을 사용합니다. 예를 들어, 영어와 키릴 문자의 문자 a, c, e, o, p, x는 유사합니다. 이를 동형이의어라고 합니다.

이로 인해 숙련된 사용자도 유사성이 미미하기 때문에 링크 및/또는 원래 주소에 사용된 도메인이 가짜인지 식별하기 어렵습니다(예: contact@ßitcoin.com; ‘ßitcoin’의 ‘B’ 참고).

2. SMS 메시지는 모방하기 쉽습니다.

SMS 피싱(또는 ‘스미싱’)은 이메일 피싱과 유사하지만 SMS 메시지에는 일반적으로 형식이나 그래픽이 포함되어 있지 않기 때문에 공격자 측에서 훨씬 덜 정교해야 합니다.

Smishing에서 공격자는 서비스 공급자가 보낸 합법적인 문자 메시지와 유사한 문자 메시지를 피해자에게 전송하여 대상을 지정합니다. 이들은 일반적으로 FUD 또는 FOMO 에 의존합니다.

FUD의 예로는 대상에게 신용 카드에 대한 승인되지 않은 거래를 알리고 추가 거래를 중지하려면 즉시 링크를 클릭하도록 요구하는 것이 포함됩니다. FOMO의 경우, 예를 들어 공격자가 대상에게 특별 제안/할인을 선택할 수 있는 매우 짧은 시간을 알리는 것이 포함될 수 있습니다. 두 경우 모두 대상이 SMS 메시지에 제공된 링크를 클릭하도록 권장됩니다.

이 예에서 승인되지 않은 거래나 특별 제안/할인은 모두 진짜가 아닙니다. 대신 이러한 잘못된 시나리오는 공격자가 의도한 대상에서 FUD 또는 FOMO를 활용해야 한다는 긴박감을 만듭니다.

3. 소셜 미디어 피싱

소셜 미디어 및 인스턴트 메시징 플랫폼에서 공격자는 서비스 제공업체(서비스 제공업체의 고객 지원 직원, 지원을 제공하는 회사의 직원 등)로 가장하여 사용자가 이메일과 유사한 피싱 링크를 클릭하도록 속일 수 있습니다. SMS 피싱. ‘_crypto com official_’과 같은 사기성 사용자 이름을 찾습니다.

이러한 공격의 주요 목표는 일반적으로 사용자가 링크를 클릭하도록 유도하는 것입니다. 경우에 따라 링크는 피해자의 장치에 맬웨어/스파이웨어/랜섬웨어를 배포합니다. 다른 경우에는 링크를 통해 자격 증명을 입력하는 사실적으로 보이는/모방 웹 사이트로 연결되어 해커가 실제 웹 사이트에서 사용자의 실제 계정에 액세스할 수 있습니다.

4. 예상치 못한 전화를 조심하세요

보이스 피싱(또는 ‘비싱’)은 공격자가 피해자에게 전화를 걸거나 미리 녹음된 메시지를 사용하여 피해자에게 대량 전화하는 기술을 활용하는 피싱의 약간 다른 변종입니다. 그들은 순진한 피해자의 개인 정보를 얻기 위해 적법한 조직(예: 세무서와 같은 정부 기관 또는 은행, 통신 회사 등과 같은 서비스 제공업체)에서 전화를 거는 피해자를 설득하려고 합니다. 그들의 계정, 신원을 도용하거나 불법적으로 자금을 취득합니다.

경우에 따라 피해자는 공격자에 대한 혐의 결과(예: 체포, 추방, 주택 압류 등)를 피하기 위해 선물 및 선불 카드와 같은 추적할 수 없는 지불 방법으로 지불하도록 강요받을 수 있습니다. 실제로 선불 기프트 카드로 지불을 요구하는 세무서나 은행은 항상 위험 신호를 들어야 합니다.

피싱 인식 및 자신 보호

피싱에 대한 첫 번째 방어선은 예상치 못한 이메일, 메시지 또는 긴급한 조치가 필요한 전화 통화에 대해 항상 의심하는 것입니다.

또한 수신 메시지가 진짜인지 여부를 직접 평가하는 동안 살펴보고 고려해야 할 몇 가지 확실한 징후가 있습니다.

• 원래 이메일 주소가 해당 조직의 일반적인 연락처 이메일에서 온 것입니까? 전체 이메일 주소와 도메인을 살펴보십시오. 일반적인 도메인 이름 뒤에 다른 것이 있습니까? 예를 들어 Crypto.com의 이메일 도메인은 @crypto.com입니다. 그러나 이메일 도메인이 채워진 경우(예: @crypto.com. somethingelse.com ) 동일한 도메인이 아닙니다.
  
• 조직에서 피싱 방지 코드 기능을 제공합니까? 귀하의 계정에 대해 켜져 있습니까? 두 질문에 대한 대답이 모두 예인 경우 이메일에 올바른 코드가 표시됩니까?

Crypto.com의 피싱 방지 코드를 사용하여 자신을 보호하세요. Crypto.com 앱 , Exchange 및 NFT Marketplace 에서 활성화하는 방법을 알아보세요.

• 마우스를 가져가서(클릭하지 않음) 클릭해야 하는 링크를 확인하십시오. 링크가 조직의 도메인 이름으로 연결됩니까? 위에서 언급한 이메일 도메인 패딩과 같은 추가 사항으로 링크의 도메인이 패딩되었습니까?
  
• 맞춤법 및 문법 오류를 찾습니다. 공격자는 종종 눈에 띄는 실수를 저지르며 이는 해당 이메일이 합법적인 이메일이 아니라는 증거입니다.
  
• 귀하의 이름 또는 통칭 용어(예: Dear [ Your Name] vs Dear Customer )로 불리십니까? 공격자가 귀하의 이름과 전자 메일을 알고 메일 병합 소프트웨어를 사용하여 피해자를 개별적으로 처리할 수 있으므로 이것이 항상 신뢰할 수 있는 지표는 아닙니다.
  
• 회사 대표로 추정되는 사람이 소셜 미디어 및/또는 인스턴트 메시징 플랫폼에서 갑자기 연락을 했습니까? 특히 회사 서비스에 대한 불만이나 질문을 게시한 후에 발생합니다. 대부분의 경우 담당자는 인증된 계정/페이지로 이동하여 직접 연락을 시작하지 않는 한 연락을 시작하지 않습니다.
  
• 사실이 되기에는 너무 좋다면 거의 확실합니다. 사실이라고 하기에는 너무 좋은 조건으로 투자 기회나 대출을 제안받고 있습니까? 이들은 피싱에 사용되는 일반적인 미끼 중 일부입니다.
  
• 즉시 조치를 취하지 않으면 결과에 대한 위협을 받고 있습니까? 공포에 질리지 말 것. 언제든지 전화를 끊고 공개된 번호로 조직에 다시 전화를 걸거나 합법적이고 공식적인 고객 서비스 채널을 통해 연락할 수 있습니다.

황금률은 결국에도 여전히 불확실한 경우 링크를 클릭하거나 이메일/SMS/IM/전화 통화를 통해 제공된 요청을 따르지 않는 것이 좋습니다. 대신 보안 연락 채널(고객 지원 채팅, 고객 지원 라인에 전화 또는 브라우저에 직접 URL을 입력하고 계정에 로그인하여 해당 웹 사이트 탐색)을 사용하여 조직에 직접 연락하십시오.

암호화 사용자에 대한 피싱 시도

그렇다면 실제로는 어떤 모습일까요? 다음은 가상 피싱 공격의 5가지 예입니다. 곧 위험 신호가 무엇인지 알게 될 것입니다.

1. 회사는 DM 대화를 시작하지 않으며 두 가지 예외

이 샘플에서 피셔는 잠재적인 피해자에게 연락하여 대화를 시작하지만 서비스 공급자는 일반적으로 DM(직접 메시지) 사용자에게 먼저 메시지를 보내지 않습니다. 즉, 일반적으로 DM을 시작해야 합니다. 단, 상품 이행을 위해 콘테스트 우승자에게 연락하고 사용자 생성 콘텐츠를 사용할 수 있는 권한을 요청하는 경우는 예외입니다. 후자의 경우 콘테스트 참가에 대한 명확한 기억이 있어야 하며 확인된 프로필과 같은 합법적인 계정의 다른 모든 징후를 찾아야 합니다. 단축 링크로 보내려는 시도는 위험 신호입니다.

2. 합법적인 회사는 빨리 부자가 될 수 있는 기회를 제공하지 않습니다.

이러한 유형의 시나리오에서 지역 커뮤니티 관리자와 같은 직원을 사칭한 가짜 계정은 소셜 미디어에서 잠재적인 피해자에게 메시지를 보내 투자 기회를 제공합니다.

3. 회사는 커뮤니티 채널에 사용자를 추가하지 않습니다.

이 예에서 피셔는 복제 텔레그램 그룹을 생성하고 잠재적 피해자를 추가하여 커뮤니티 채널을 복제합니다. 사기꾼은 실제 직원인 것처럼 가장하여 피해자가 자신의 로그인 자격 증명을 공개하도록 유도할 수 있습니다.

정책과 관련하여 서비스 공급자는 일반적으로 사용자를 커뮤니티 그룹이나 채널에 추가하지 않습니다. 대신 사용자는 공식 커뮤니티 그룹 및 채널에 대한 링크를 찾아야 합니다.

4. 공식 웹사이트만 사용

여기에서 모방 웹사이트의 가상 예는 유사한 색 구성표와 로고를 사용하여 Cronos 블록체인 웹사이트와 유사하려고 시도합니다. 사기꾼은 사용자가 암호화폐 지갑 시드 문구를 제공하도록 하여 사기꾼에게 사용자의 비수탁 지갑에 대한 취소 불가능한 액세스 권한을 부여하고 모든 자산을 빼낼 수 있도록 합니다.

사용자는 매우 기본적인 사이트 구조, 단순한 육각형으로 대체된 누락된 로고, 클릭 유도문안을 주의하고 주의해야 합니다.

반대로 아래의 합법적인 Cronos 웹사이트에는 위의 모방 웹사이트와 구별되는 몇 가지 고유한 기능이 있습니다.

5. 소셜 미디어 계정이 확인되었는지 확인

또 다른 예에서, 피셔는 예를 들어 공식 Loaded Lions 계정과 유사한 실제처럼 보이는 Twitter 계정을 만들어 가짜 에어드롭을 미끼로 사용하여 자금을 훔치려 할 수 있습니다.

팔로우하는 계정이 공식 계정인지 확인하고 먼저 팔로우하는 유명 계정을 의심하세요. 아래에서 가짜 및 진짜 Twitter 프로필의 스크린샷을 모두 볼 수 있습니다.

6. URL을 주의 깊게 확인

피셔는 실제 프로젝트에 대한 가짜 페이지를 만들고 Google 광고 비용을 지불하여 먼저 표시되도록 할 수 있습니다. 예를 들어, 주의 깊게 살펴보면 광고의 URL에 오타(tcetonic.finance)가 있는 것을 볼 수 있으며, Cronos Chain에 구축된 탈중앙화 비수탁 알고리즘 자금 시장 프로토콜인 Tectonic의 합법적인 웹사이트(tectonic.finance)가 아래에 나타납니다. 광고를 첫 번째 검색결과로 표시합니다.

7. 타사 프로모션 코드에 주의하십시오.

이 마지막 예에서 사용자는 프로모션 코드를 검색하고 악성 링크를 포함할 수 있는 가짜 프로모션 코드에 대한 사기 웹사이트로 연결될 수 있습니다.

공식 사이트 및 검증된 채널에서 직접 프로모션 코드만 사용하십시오.

결론 — 피셔로부터 자신을 보호하는 방법

해커와 사기꾼이 피해자와 자금을 노리고 있기 때문에 피싱 공격이 증가할 것으로 예상됩니다. 데이터 유출 또는 임의의 대상 지정으로 인해 피싱 공격은 모든 사람의 개인 정보 및 재정에 대한 위험입니다. 경계를 유지하고, 피싱이 어떤 것인지 알고, 건전한 회의론은 피싱 시도로부터 자신을 보호하는 데 필요한 몇 가지 도구입니다.

실사 및 자체 조사 수행

이 문서에 나열된 모든 예제는 정보 제공의 목적으로만 제공됩니다. 그러한 정보나 기타 자료를 법률, 세금, 투자, 금융, 사이버 보안 또는 기타 조언으로 해석해서는 안 됩니다. 여기에 포함된 어떠한 내용도 Crypto.com 이 코인, 토큰 또는 기타 암호화 자산을 투자, 구매 또는 판매하도록 권유, 추천, 보증 또는 제안을 구성하지 않습니다. 암호화 자산의 구매 및 판매에 대한 수익은 귀하의 관할 구역에서 자본 이득세를 포함한 세금의 대상이 될 수 있습니다. Crypto.com 제품 또는 기능에 대한 모든 설명은 단지 설명을 위한 것이며 보증, 초대 또는 권유를 구성하지 않습니다.

과거 성과는 미래 성과를 보장하거나 예측하지 않습니다. 암호화 자산의 가치는 증가하거나 감소할 수 있으며 구매 가격의 전부 또는 상당한 금액을 잃을 수 있습니다. 암호화폐 자산을 평가할 때 모든 구매는 전적으로 귀하의 책임이므로 조사와 실사를 통해 최선의 판단을 내리는 것이 중요합니다.