CEO의 이메일?: 포경 피싱 사기 설명

최근에 최고 경영자(CEO)를 사칭하여 거래처(벤더)에 자금 이체를 요구하는 이메일을 받으셨나요? 주의하세요! 그것은 CEO 사기일 가능성이 높습니다. 자세히 알아보겠습니다.

먼저 배경 설명을 간략히 드리겠습니다.

저(전업 작가)는 koreantech.org에 합류한 지 두 달도 채 되지 않아 CEO 사기를 경험했습니다.

사기꾼은 마치 공식적인 것처럼 보이는 Virgin Media의 이메일 주소([email protected])를 사용했습니다. 당시 저는 CEO가 해당 통신 회사와 어떤 연관이 있을 것이라고 생각했습니다. 왜냐하면 둘 다 영국에 기반을 두고 있었기 때문입니다.

사기꾼은 저에게 '업무를 할당하고 싶다, 시간이 되느냐?'고 물었고, 저는 즉시 '물론이다'라고 대답했습니다. 그러자 사기꾼은 공급업체에 24,610 인도 루피(약 300달러)를 이체하는 방법을 상세히 설명했습니다. 제가 동의했다면 그들은 세부 정보를 공유했을 것입니다.

그러나 저는 약간의 의심을 느꼈고, 송금하기 전에 발신자에게 신원 확인을 요청했습니다. 몇 차례 이메일 교환 후 사기꾼은 연락을 끊었고, 저는 실제 CEO와 Virgin Media IT 부서에 이 사실을 알렸습니다.

이러한 종류의 사기에 대한 사전 교육을 받은 적은 없었지만, 다행히 함정에 빠지지 않았습니다.

하지만 운에만 의존해서는 안 됩니다. 대신, 이러한 사기를 미리 인지하고 다른 사람들에게도 교육해야 합니다.

CEO 사기, 즉 임원 피싱

이것은 특정 조직이나 직원을 대상으로 하는 스피어 피싱 공격의 일종입니다. 특히 고위 임원(C-suite 등)을 목표로 하는 경우 웨일링 피싱 공격이라고 불립니다.

미국 연방 수사국(FBI)에 따르면, 이러한 사기는 BEC(Business Email Compromise) 또는 EAC(Email Account Compromise)로 분류되며, 2021년에는 약 24억 달러의 손실을 초래했습니다.

지리적으로 나이지리아는 CEO 사기의 46%를 호스팅하는 주요 국가이며, 미국(27%)과 영국(15%)이 그 뒤를 잇고 있습니다.

작동 방식

CEO 사기는 특별한 기술이나 범죄 지식을 요구하지 않습니다. 사기꾼은 무작위 이메일을 보내 사회 공학적 기법을 사용하여 여러분을 속여 돈을 보내거나 민감한 정보를 빼내려고 합니다.

사기꾼이 현재 사용하고 있는 몇 가지 방법을 살펴보겠습니다.

유형 1

CEO를 사칭하여 돈을 요구하는 무작위 이메일 주소는 가장 단순한 형태의 사기입니다. 쉽게 식별할 수 있으며, 이메일 주소(이름이 아님)를 주의 깊게 확인해야 합니다.

일반적으로 도메인 이름([email protected])은 사기를 드러내지만, 이메일 주소는 유명한 조직의 이름을 사용할 수 있습니다(제 경우처럼).

이러한 교묘함은 정보에 취약한 전문가를 속이는 데 도움을 주며, 합법성을 더합니다. 또한, 이메일 주소는 진짜처럼 보이지만 @gmail.com 대신 @gmial.com과 같이 미묘한 변화가 있을 수 있습니다.

마지막으로, 합법적이지만 해킹된 이메일 주소에서 온 것일 수도 있기 때문에 사기를 감지하기가 매우 어려울 수 있습니다.

유형 2

더욱 정교한 기술은 화상 회의를 이용하는 것입니다. 이 경우, 고위 관리자의 '관리되는' 이메일 주소를 사용하여 재무 부서 직원들에게 '긴급한' 온라인 회의를 요청합니다.

회의에 참여한 사람은 오디오가 없거나(혹은 딥페이크 오디오) 연결이 원활하지 않다는 주장을 함께 제시된 이미지에 직면합니다.

그 후, '경영진'은 사기가 성공한 후 알 수 없는 은행 계좌로 전신 송금을 요청하여 다른 채널(암호화폐 등)을 통해 돈을 빼돌립니다.

유형 3

이 유형은 유형 1의 변형이지만, 직원 대신 비즈니스 파트너를 대상으로 하며 인보이스 사기라는 이름으로 더 잘 알려져 있습니다.

이 경우, 조직의 고객은 특정 은행 계좌로 인보이스를 긴급하게 지불하라는 이메일을 받게 됩니다.

출처: CBC 뉴스

이러한 사기는 일반적으로 해킹된 회사 이메일 주소를 사용하여 이루어지기 때문에 성공률이 높습니다. 이메일은 전문가들이 소통하는 일반적인 방법이기 때문에 대상 조직에 큰 금전적 및 평판 손실을 초래합니다.

CEO 사기 확인 방법

직원으로서 CEO의 요청을 거절하기란 쉽지 않습니다. 이러한 심리적 취약성 때문에 사기꾼은 간단한 이메일만으로 쉽게 성공할 수 있습니다.

금전적 요구에 대해 질문하는 것 외에도, '협조'하기 전에 화상 회의를 요청하는 것이 가장 좋습니다.

또한 대부분의 경우 이메일 주소를 주의 깊게 확인하는 것만으로도 사기를 식별할 수 있습니다. 이메일 주소가 소속 조직과 일치하지 않거나 회사 이름의 철자가 잘못되었을 수 있습니다.

게다가, 기관은 모든 도메인 확장자를 등록할 수는 없습니다. 따라서 [email protected]와 같은 공식 주소가 있어야 할 때 [email protected]와 같은 이메일을 받는 경우 주의해야 합니다.

마지막으로, '외부'에서 운영하는 회사 주소나 악의적인 내부 구성원으로부터 이메일을 받을 수 있습니다. 이러한 상황에서는 결제 전에 구두로 확인하거나 여러 임원에게 알려야 합니다.

조직을 보호하는 가장 효과적인 방법은 일상적인 직원 교육에 피싱 시뮬레이션을 통합하는 것입니다. 사기 수법은 끊임없이 진화하기 때문에 일회성 경고는 큰 도움이 되지 않습니다.

마무리

불행하게도 우리는 비즈니스 이메일에 크게 의존하기 때문에 범죄자들이 자주 악용하는 취약점을 남기고 있습니다.

아직 이러한 형태의 커뮤니케이션을 대체할 만한 수단은 없지만, 비즈니스 파트너를 Slack이나 WhatsApp과 같은 애플리케이션에 추가하여 의심스러운 점을 빠르게 확인하고 문제 발생을 방지할 수 있습니다.

추신: 제가 여러분이라면 인터넷 활용 능력을 향상시키기 위해 사이버 범죄 유형을 다루는 이 기사를 꼭 읽어볼 것입니다.