스미싱과 피싱은 피해자를 속여 민감한 정보를 공개하도록 하는 사회 공학적 공격입니다.
피싱에는 악성 링크나 첨부 파일이 포함된 이메일을 보내는 것이 포함됩니다. 반면, SMS(SMS)와 피싱(Phishing)의 합성어인 스미싱(Smishing)은 피해자가 클릭하거나 전화하도록 유도하는 악성 링크나 전화번호로 문자 메시지를 보내는 것을 의미합니다.
스미싱 공격과 피싱 공격 모두에서 범죄자는 즉시 대응하지 않는 한 잠재적 피해자를 심각한 결과로 위협합니다. 위협에 대응하는 피해자는 비밀번호나 은행 계좌 정보와 같은 민감한 정보를 노출하게 될 수도 있습니다.
피싱 공격 데이터 도난 이미지 Pixabay
스미싱 공격과 피싱 공격의 유사점과 차이점을 살펴보기 전에 각 용어의 의미를 알아보겠습니다.
목차
스미싱이란?
스미싱(Smishing)은 범죄자가 잠재적인 휴대전화 사용자에게 악의적인 링크나 가짜 전화번호가 포함된 문자 메시지를 보내는 공격이다. 여기에는 전화 사용자가 응답하도록 속이기 위해 설득력 있는 언어로 조작된 문자 메시지를 사용하는 것이 포함됩니다.
공격자는 운송 중인 패키지 비용을 즉시 지불해야 하거나 금융 거래를 확인해야 하거나 보류 중인 청구서에 대해 긴급하게 지불해야 하는 등 긴급성을 사용할 수 있습니다.
피싱이란 무엇입니까?
피싱은 사용자를 공격자가 제어하는 서버로 연결하거나 민감한 정보를 훔칠 수 있는 악성 코드를 설치하는 악성 링크나 첨부 파일이 포함된 사기성 이메일을 보내는 것입니다.
피싱의 경우 공격자의 사이트는 합법적인 웹사이트와 유사해 보이지만 도메인 이름의 철자가 틀린 경우가 있습니다. 그러나 피해자가 안전한 웹사이트에 접속하고 있다고 믿고 사용자 이름과 비밀번호를 입력할 때 이를 훔칠 수 있는 로그인 필드가 포함될 수 있습니다.
스미싱 공격과 피싱 공격: 유사점
스미싱 및 피싱 공격은 사회 공학적 전술을 사용하여 의심하지 않는 사용자를 속여 민감한 정보나 기밀 정보를 공개하도록 합니다. 두 가지 공격 방식은 다음과 같은 유사점을 가지고 있습니다.
- 각각은 설득력 있는 언어를 사용하여 피해자가 즉시 대응하지 않을 경우 잠재적인 위험에 대해 경고합니다. 예를 들어, 피해자가 제공된 링크를 클릭하는 등 요청된 조치를 취하지 않으면 은행 계좌나 신용카드가 해지되거나 전기 또는 전화 서비스가 중단될 것이라고 경고하며 기타 위협을 가합니다.
- 공격자가 제어하는 악성 링크가 포함되어 있으며 로그인 자격 증명이나 기타 중요한 정보를 훔치거나, 맬웨어나 바이러스를 설치하거나, 사용자 장치를 손상시킬 가능성이 있습니다.
스미싱 대 피싱 공격 이미지 Pixabay
- 긴급성: 각 공격은 긴급성을 조성하고 위협을 사용하거나 잠재적인 피해자가 즉시 조치를 취하거나 대응하지 않을 경우 부정적인 결과에 대해 경고할 수 있습니다.
- 기만: 두 공격 모두 사회 공학 기법을 사용하여 피해자를 속이고 조작합니다. 스미싱 및 피싱 공격자는 종종 Microsoft, Amazon, Google 및 기타 알려진 브랜드와 같이 알려지고 합법적인 회사를 사칭합니다. 이로 인해 잠재적인 피해자는 자신이 해당 조직이나 기관과 거래하고 있다고 믿고 신뢰를 얻고, 응답하거나, 요청한 정보를 제공하게 됩니다.
- 동일한 목표: 스미싱 또는 피싱 공격을 실행하는 주요 목적은 피해자를 속여 로그인 자격 증명, 신용 카드 또는 은행 정보 등과 같은 민감한 회사 또는 개인 정보를 유출하도록 하는 것입니다.
스미싱 공격과 피싱 공격: 차이점
아래 표에는 스미싱 공격과 피싱 공격의 주요 차이점이 나와 있습니다.
특징SmishingPhishingAttack Vector 악성 URL이 단축되거나 가짜 전화번호가 포함된 SMS 문자 메시지를 사용합니다.악성 링크나 첨부 파일이 포함된 이메일을 사용합니다.MediumPhone 또는 모바일 장치이메일에 액세스하는 컴퓨터 또는 모바일 장치입니다.도달 및 영향 평균 26억 5천만 건의 스팸 문자 메시지가 전송되었습니다. 2022년 4월에 매주 수신되었습니다. 문자 메시지의 링크 클릭률은 이메일의 링크 클릭률보다 높습니다. 피싱에 비해 스미싱을 사용하면 더 많은 사용자가 손상될 가능성이 높습니다. 매일 약 34억 개의 피싱 이메일 메시지가 전송됩니다. 하지만 클릭률은 스미싱에 비해 낮습니다. 전달 메커니즘 휴대폰으로 문자 메시지 컴퓨팅 장치로 이메일 메시지 사용자 인식 평균 26억 5천만 건의 스팸 문자 메시지 2022년 4월 주당 송수신 횟수입니다. 문자 메시지의 링크 클릭률이 이메일의 링크 클릭률보다 높습니다. 피싱에 비해 스미싱을 통해 피해를 입을 가능성이 더 많습니다대부분의 이메일 사용자는 피싱 공격을 알고 있습니다링크단축된 악성 링크 및 가짜 번호악성 링크 및 첨부 파일기기 악용 휴대폰 사용자의 약 60%가 스미싱 공격을 인지하지 못하고 피해자가 될 가능성이 있습니다. 컴퓨터의 기밀 정보. 공격자는 손상된 장치를 사용하여 동일한 네트워크에 있는 컴퓨터에 맬웨어나 바이러스를 배포할 수도 있습니다. 긴급성 즉각적인 응답을 요청하는 보다 긴급하고 강력한 메시지를 사용합니다. 긴급한 이메일이지만 스미싱보다는 적습니다.
자신을 보호하는 방법?
다음은 스미싱 및 피싱으로부터 보호하기 위한 몇 가지 방법입니다.
- 강력한 이메일 보안 솔루션 사용: 바이러스 백신 소프트웨어, 강력한 방화벽, 스팸 필터, 링크 분석 유틸리티, 피싱 방지 소프트웨어 및 기타 도구와 같은 효과적인 보안 솔루션을 설치합니다. 이는 피싱 이메일 메시지가 사용자에게 전달되는 것을 감지하고 방지하는 데 도움이 됩니다.
- MFA(다단계 인증) 사용: MFA를 배포하면 사용자에게 비밀번호 외에 다른 인증을 제공하도록 요구하여 추가 보호 계층이 추가됩니다. 일반적인 MFA 솔루션에서는 사용자가 사용자 이름과 비밀번호는 물론 휴대폰과 같은 장치로 전송되는 코드와 같은 다른 형태의 인증도 제공해야 합니다.
- 운영 체제 및 소프트웨어 애플리케이션을 정기적으로 업데이트하고 패치합니다. 운영 체제, 애플리케이션 및 보안 솔루션을 업데이트하면 범죄자가 악용할 수 있는 대부분의 취약성과 결함을 해결하는 최신 패치를 실행하고 최신 상태를 유지할 수 있습니다.
- 안전한 보안 관행 준수: 컴퓨터나 모바일 장치에 바이러스 백신 및 기타 보안 솔루션을 설치하면 잠재적인 공격을 탐지하고 방지하는 데 도움이 되지만, 여전히 안전한 온라인 활동을 실천해야 합니다. 공격자가 사용하는 기존 및 새로운 트릭에 대해 알아두면 보안을 유지하는 데 도움이 됩니다. 또한 철자 오류, 긴급성, 잘못된 도메인 이름, 알 수 없는 발신자 등과 같은 사회 공학 위험 신호를 확인하는 방법을 알아보세요.
피싱 공격 중지 이미지: Pixabay
- 보안 인식 제고: 조직은 직원에게 피싱, 스미싱 및 기타 사이버 공격에 대한 적절하고 정기적인 인식 교육을 제공해야 합니다. 또한 피싱 시뮬레이션 도구를 사용하여 인식을 테스트하고 격차를 식별하고 해결해야 합니다. 개인 사용자는 또한 스팸 메시지와 행동 및 안전 유지 방법에 대해 가족과 친구에게 교육해야 합니다.
- 공격 시도 신고: 계좌를 확보할 수 있도록 은행이나 기타 기관 등의 기관에 신고하세요. 또한, 추가 조사를 위해 해당 국가의 사기 방지 기관에 알릴 수도 있습니다.
- 시뮬레이션된 피싱 시도를 사용한 인식 테스트: 시뮬레이션된 테스트를 통해 관리자는 직원의 인식과 실제 피싱 시도에 어떻게 대응할지 확인할 수 있습니다. 시뮬레이션 소프트웨어는 일반적으로 공격자가 보내는 것과 유사하지만 유해한 링크나 첨부 파일이 없는 피싱 이메일을 보냅니다. 이를 통해 조직에서는 인식 교육이 효과가 있는지, 그리고 해결해야 할 격차가 있는지 확인할 수 있습니다.
- 민감한 정보 보호: 민감한 데이터를 보호하기 위해 바이러스 백신 및 암호화를 사용하는 것 외에도 데이터에 액세스할 수 있는 사람과 데이터로 수행할 수 있는 작업을 제한하는 것이 좋습니다. 이상적으로는 사용자에게 작업을 수행하는 데 필요한 데이터와 리소스에만 액세스할 수 있는 최소 권한을 부여합니다. 공격자가 무단으로 접근하더라도 큰 피해를 입힐 수는 없습니다.
- 의심스러운 문자나 이메일은 무시하거나 삭제하세요. 의심스러운 메시지, 첨부 파일 또는 링크를 클릭하지 마십시오. 또한 신용 카드나 은행 계좌 정보 등 개인 정보를 보내도록 요구하는 메시지에는 응답하지 마세요.
공격 후에는 무엇을 해야 합니까?
스미싱 및 피싱 메시지가 의도한 피해자에게 전달되는 것을 탐지하고 차단하려는 노력에도 불구하고 수백만 개의 가짜 메시지가 여전히 매일 스팸 및 기타 보안 필터를 우회하고 있습니다.
불행하게도 대부분의 사용자는 사기를 인지하고 있는 사용자라도 여전히 속아서 악성 링크를 클릭할 수 있습니다. 가장 좋은 전략은 가짜 SMS 및 이메일 메시지를 무시하고 이에 대한 응답을 피하는 것이지만, 공격이 발생할 경우 어떻게 해야 하는지 알아 두는 것도 좋습니다.
#1. 공격이 어떻게 발생했는지 확인
공격이 발생한 이유와 향후 유사한 공격을 방지하기 위해 보안 솔루션에 개선이 필요한지 알아보세요.
#2. 공격 효과 확인
피싱 이메일을 조사하여 그 의도, 공격자가 표적으로 삼은 데이터, 목적을 알아냅니다. 방화벽이나 유사한 로그를 사용하여 의심스러운 IP 주소와 URL을 찾을 수도 있습니다. 손상되었을 수 있는 계정과 데이터를 확인하세요. 또한, 비정상적인 위치에서의 로그인 시도 시도, 자금 이체 등과 같은 의심스러운 활동이 있는지 온라인 및 은행 계좌 또는 거래를 면밀히 모니터링하십시오.
#삼. 연루된 기관에 알립니다.
연루된 합법적인 회사에 연락하여 공격자가 회사 이름을 사용하여 사용자를 속이고 있다는 사실을 알리는 것이 가장 좋습니다. 이 정보를 통해 조직은 고객에게 사기에 대해 경고할 수 있습니다.
#4. 네트워크에서 장치를 분리합니다.
휴대폰이나 컴퓨터가 감염된 경우 네트워크 연결을 끊어 멀웨어나 기타 설치된 소프트웨어가 중요한 데이터를 업로드하지 못하도록 하세요. 또한 네트워크의 다른 시스템을 보호하는 데에도 도움이 됩니다.
연결을 끊으면 맬웨어가 네트워크의 다른 시스템으로 확산되는 것을 방지할 수 있을 뿐 아니라 해당 장치가 중요한 데이터를 훔쳐 인터넷이나 공격자의 시스템에 업로드하는 일도 방지할 수 있습니다.
#5. 장치 청소
신뢰할 수 있는 도구를 사용하여 감염된 장치를 청소하고 손상을 일으킬 수 없는 경우에만 다시 연결하십시오. 공격 일주일 전과 같이 시스템을 이전의 양호한 상태로 복원하는 것을 고려할 수 있습니다. 또한 손상된 계정의 비밀번호와 PIN을 변경하세요.
결론
모바일 장치와 컴퓨터를 사용하는 모든 개인과 조직은 스미싱 및 피싱 공격에 취약합니다. 스미싱 공격은 휴대폰 사용자를 표적으로 삼는 경우가 많은 반면, 피싱 공격은 이메일 사용자를 표적으로 삼는 경우가 많습니다.
어느 쪽이든 스패머는 사회 공학 기술을 사용하여 사용자를 속여 비밀번호, 은행 정보 및 기타 민감한 정보를 공개하도록 합니다. 대부분의 피싱, 스미싱 이메일과 SMS 문자는 스팸 필터와 기타 보안 솔루션을 우회할 수 있습니다. 결과적으로 이로 인해 사용자는 메시지가 합법적이고 깨끗하다고 생각하게 될 수 있습니다.
경계심을 갖고 사이버 보안 모범 사례를 아는 것은 데이터 및 신원 도용을 예방하는 데 도움이 될 수 있습니다. 공격을 예방하는 가장 좋은 방법은 사용자가 긴급성, 알 수 없는 발신자, 민감한 정보 공개 요청 등과 같은 스미싱과 피싱 공격 징후를 찾는 방법을 배우는 것입니다. 공격이 의심되면 메시지를 무시하고 언급된 조직이 메시지를 보냈는지 확인하세요.
다음으로, 스풀링 공격이란 무엇이며, 이러한 공격으로부터 자신을 안전하게 보호하는 방법은 무엇입니까?