메뉴
2023년 피싱 이해를 위한 궁극의 가이드
그래서, 무엇입니까 피싱?
피싱은 사람들을 속여 암호나 귀중품을 공개하도록 하는 사회 공학의 한 형태입니다. 정보. 피싱 공격은 이메일, 문자 메시지 및 전화 통화의 형태일 수 있습니다.
일반적으로 이러한 공격은 사람들이 쉽게 알아볼 수 있는 인기 있는 서비스 및 회사를 가장합니다.
사용자가 이메일 본문에 있는 피싱 링크를 클릭하면 신뢰하는 사이트의 유사 버전으로 보내집니다. 피싱 사기의 이 시점에서 로그인 자격 증명을 요구합니다. 가짜 웹사이트에 정보를 입력하면 공격자는 실제 계정에 액세스하는 데 필요한 정보를 갖게 됩니다.
피싱 공격으로 인해 개인 정보, 금융 정보 또는 건강 정보가 도난당할 수 있습니다. 공격자가 한 계정에 대한 액세스 권한을 얻으면 해당 계정에 대한 액세스 권한을 판매하거나 해당 정보를 사용하여 피해자의 다른 계정을 해킹합니다.
계정이 판매되면 계정에서 이익을 얻을 수 있는 방법을 아는 사람이 다크 웹에서 계정 자격 증명을 구입하고 훔친 데이터를 활용합니다.
다음은 피싱 공격의 단계를 이해하는 데 도움이 되는 시각화입니다.
피싱 공격은 다양한 형태로 나타납니다. 피싱은 전화 통화, 문자 메시지, 이메일 또는 소셜 미디어 메시지에서 작동할 수 있습니다.
일반 피싱 이메일은 피싱 공격의 가장 일반적인 유형입니다. 이와 같은 공격은 최소한의 노력이 필요하기 때문에 일반적입니다.
해커는 Paypal 또는 소셜 미디어 계정과 연결된 이메일 주소 목록을 가져와 잠재적 피해자에게 대량 이메일 폭발.
피해자가 이메일의 링크를 클릭하면 인기 있는 웹사이트의 가짜 버전으로 이동하여 계정 정보로 로그인하도록 요청하는 경우가 많습니다. 계정 정보를 제출하자마자 해커는 계정에 액세스하는 데 필요한 정보를 갖게 됩니다.
어떤 의미에서 이러한 유형의 피싱은 물고기 떼에 그물을 던지는 것과 같습니다. 반면에 다른 형태의 피싱은 보다 표적화된 노력입니다.
스피어피싱은 언제 공격자가 특정 개인을 대상으로 함 한 그룹의 사람들에게 일반적인 이메일을 보내는 것보다
스피어 피싱 공격은 대상을 구체적으로 지정하고 피해자가 알 수 있는 사람으로 위장합니다.
이러한 공격은 인터넷에 개인 식별 정보가 있는 경우 사기꾼에게 더 쉽습니다. 공격자는 귀하와 귀하의 네트워크를 조사하여 적절하고 설득력 있는 메시지를 만들 수 있습니다.
많은 양의 개인화로 인해 스피어 피싱 공격은 일반 피싱 공격에 비해 식별하기가 훨씬 더 어렵습니다.
또한 범죄자가 성공적으로 제거하는 데 더 많은 시간이 걸리기 때문에 덜 일반적입니다.
질문: 스피어피싱 이메일의 성공률은 얼마입니까?
답변: 스피어피싱 이메일의 평균 이메일 오픈율은 다음과 같습니다. 70% 및 50% 의 수신자가 이메일의 링크를 클릭합니다.
스피어 피싱 공격과 비교할 때 웨일링 공격은 훨씬 더 표적이 있습니다.
웨일링 공격은 회사의 최고 경영자 또는 최고 재무 책임자와 같은 조직의 개인을 노립니다.
포경 공격의 가장 일반적인 목표 중 하나는 피해자를 조작하여 공격자에게 많은 돈을 연결하도록 하는 것입니다.
공격이 이메일 형식이라는 점에서 일반적인 피싱과 유사하게 웨일링은 자신을 위장하기 위해 회사 로고 및 유사한 주소를 사용할 수 있습니다.
경우에 따라 공격자는 CEO를 사칭합니다. 해당 페르소나를 사용하여 다른 직원이 재무 데이터를 공개하거나 공격자의 계정으로 돈을 이체하도록 설득합니다.
직원들은 더 높은 사람의 요청을 거부할 가능성이 적기 때문에 이러한 공격은 훨씬 더 교활합니다.
공격자는 포경 공격을 만드는 데 더 많은 시간을 할애하는 경우가 많습니다.
'포경'이라는 이름은 대상이 더 많은 재정적 힘(CEO's)을 가지고 있다는 사실을 의미합니다.
낚시꾼 피싱은 상대적으로 새로운 유형의 피싱 공격이며 소셜 미디어에 존재합니다.
그들은 피싱 공격의 전통적인 이메일 형식을 따르지 않습니다.
대신 그들은 회사의 고객 서비스 담당자로 위장하고 다이렉트 메시지를 통해 정보를 보내도록 사람들을 속입니다.
일반적인 사기는 맬웨어를 다운로드하는 가짜 고객 지원 웹사이트로 사람들을 보내는 것입니다. 랜섬 피해자의 기기에
Vishing 공격은 사기꾼이 전화를 걸 때입니다. 귀하로부터 개인 정보를 수집하려고 시도합니다.
사기꾼은 일반적으로 Microsoft, IRS 또는 은행과 같이 평판이 좋은 기업이나 조직인 것처럼 가장합니다.
그들은 중요한 계정 데이터를 공개하도록 하기 위해 공포 전술을 사용합니다.
이를 통해 중요한 계정에 직간접적으로 액세스할 수 있습니다.
비싱 공격은 까다롭다.
공격자는 사용자가 신뢰하는 사람을 쉽게 사칭할 수 있습니다.
Hailbytes 설립자 David McHale이 미래 기술로 자동 녹음 전화가 어떻게 사라질지에 대해 이야기하는 것을 시청하십시오.
대부분의 피싱 공격은 이메일을 통해 발생하지만 적법성을 식별할 수 있는 방법이 있습니다.
이메일을 열면 공개 이메일 도메인에서 온 것인지 확인하십시오. (예: @gmail.com).
공용 이메일 도메인에서 가져온 것이라면 조직에서 공용 도메인을 사용하지 않기 때문에 피싱 공격일 가능성이 큽니다.
오히려 그들의 도메인은 그들의 비즈니스에 고유할 것입니다(예: Google의 이메일 도메인은 @google.com임).
그러나 고유한 도메인을 사용하는 더 까다로운 피싱 공격이 있습니다.
회사를 빠르게 검색하고 적법성을 확인하는 것이 유용합니다.
피싱 공격은 항상 좋은 인사나 공감으로 친구가 되려고 합니다.
예를 들어 얼마 전 스팸에서 "친애하는 친구"라는 인사말이 포함된 피싱 이메일을 발견했습니다.
제목에 "GOOD NEWS ABOUT YOUR FUNDS 21 /06/2020"이라는 피싱 이메일이라는 것을 이미 알고 있었습니다.
해당 연락처와 상호 작용한 적이 없는 경우 이러한 유형의 인사말을 보는 것은 즉각적인 위험 신호여야 합니다.
피싱 이메일의 내용은 매우 중요하며 대부분을 구성하는 몇 가지 고유한 기능을 볼 수 있습니다.
내용이 황당하게 들리면 사기일 가능성이 큽니다.
예를 들어, 제목에 "당신은 복권 $1000000에 당첨되었습니다"라고 쓰여 있고 당신이 참여한 기억이 없다면 그것은 위험 신호입니다.
콘텐츠가 "당신에게 달려 있습니다"와 같은 긴박감을 만들고 의심스러운 링크를 클릭하도록 유도하면 사기일 가능성이 큽니다.
피싱 이메일에는 항상 의심스러운 링크나 파일이 첨부되어 있습니다.
링크에 바이러스가 있는지 확인하는 좋은 방법은 파일이나 링크에 맬웨어가 있는지 확인하는 웹 사이트인 VirusTotal을 사용하는 것입니다.
피싱 이메일의 예:
이 예에서 Google은 이메일이 잠재적으로 위험할 수 있다고 지적합니다.
콘텐츠가 다른 유사한 피싱 이메일과 일치하는지 인식합니다.
이메일이 위의 기준 대부분을 충족하는 경우 차단되도록 reportphishing@apwg.org 또는 phishing-report@us-cert.gov로 보고하는 것이 좋습니다.
Gmail을 사용하는 경우 피싱 이메일을 신고하는 옵션이 있습니다.
피싱 공격은 임의의 사용자를 대상으로 하지만 회사 직원을 대상으로 하는 경우가 많습니다.
그러나 공격자는 항상 회사의 돈이 아니라 데이터를 쫓습니다.
비즈니스 측면에서 데이터는 돈보다 훨씬 더 가치가 있으며 회사에 심각한 영향을 미칠 수 있습니다.
공격자는 유출된 데이터를 사용하여 소비자 신뢰에 영향을 미치고 회사 이름을 더럽히는 방식으로 대중에게 영향을 미칠 수 있습니다.
그러나 그것으로 인해 발생할 수 있는 결과는 그것만이 아닙니다.
다른 결과로는 투자자 신뢰에 대한 부정적인 영향, 비즈니스 방해, 일반 데이터 보호 규정(GDPR)에 따른 규제 벌금 부과 등이 있습니다.
성공적인 피싱 공격을 줄이려면 이 문제를 처리하도록 직원을 교육하는 것이 좋습니다.
일반적으로 직원을 교육하는 방법은 피싱 이메일의 예와 이를 발견하는 방법을 보여주는 것입니다.
직원에게 피싱을 보여줄 수 있는 또 다른 좋은 방법은 시뮬레이션입니다.
피싱 시뮬레이션은 기본적으로 직원이 부정적인 영향 없이 직접 피싱을 인식할 수 있도록 설계된 가짜 공격입니다.
이제 성공적인 피싱 캠페인을 실행하기 위해 취해야 할 단계를 공유합니다.
WIPRO의 사이버 보안 상태 보고서 2020에 따르면 피싱은 여전히 최고의 보안 위협입니다.
데이터를 수집하고 직원을 교육하는 가장 좋은 방법 중 하나는 내부 피싱 캠페인을 실행하는 것입니다.
피싱 플랫폼으로 피싱 이메일을 만드는 것은 충분히 쉬울 수 있지만 보내기를 누르는 것보다 훨씬 더 많은 일이 있습니다.
내부 커뮤니케이션으로 피싱 테스트를 처리하는 방법에 대해 논의합니다.
그런 다음 수집한 데이터를 분석하고 사용하는 방법에 대해 설명합니다.
피싱 캠페인은 사기에 빠진 사람들을 처벌하는 것이 아닙니다. 피싱 시뮬레이션은 직원들에게 피싱 이메일에 대응하는 방법을 가르치는 것입니다. 회사에서 피싱 교육을 투명하게 수행하고 있는지 확인하고 싶습니다. 피싱 캠페인에 대해 회사 리더에게 우선적으로 알리고 캠페인의 목표를 설명하십시오.
첫 번째 기본 피싱 이메일 테스트를 보낸 후 모든 직원에게 전사적으로 발표할 수 있습니다.
내부 커뮤니케이션의 중요한 측면은 메시지의 일관성을 유지하는 것입니다. 자신의 피싱 테스트를 수행하는 경우 교육 자료를 위해 만들어진 브랜드를 생각해 내는 것이 좋습니다.
프로그램 이름을 정하면 직원들이 받은 편지함에서 교육 콘텐츠를 인식하는 데 도움이 됩니다.
관리형 피싱 테스트 서비스를 사용하는 경우 이 서비스를 사용할 수 있습니다. 교육 콘텐츠는 캠페인 후 즉각적인 후속 조치를 취할 수 있도록 미리 제작해야 합니다.
기본 테스트 후 직원에게 내부 피싱 이메일 프로토콜에 대한 지침과 정보를 제공하십시오.
동료들에게 교육에 올바르게 대응할 수 있는 기회를 주고 싶습니다.
이메일을 정확하게 발견하고 보고하는 사람들의 수를 확인하는 것은 피싱 테스트에서 얻을 수 있는 중요한 정보입니다.
캠페인의 최우선 순위는 무엇입니까?
약혼.
성공 및 실패 횟수를 기반으로 결과를 도출할 수 있지만 이러한 수치가 반드시 목적 달성에 도움이 되는 것은 아닙니다.
피싱 테스트 시뮬레이션을 실행했는데 아무도 링크를 클릭하지 않았다면 테스트가 성공적이었다는 뜻인가요?
짧은 대답은 "아니오"입니다.
성공률이 100%라고 해서 성공으로 해석되는 것은 아닙니다.
피싱 테스트가 발견하기가 너무 쉬웠다는 의미일 수 있습니다.
반면에 피싱 테스트에서 엄청난 실패율을 얻는다면 완전히 다른 것을 의미할 수 있습니다.
직원이 아직 피싱 공격을 발견하지 못했음을 의미할 수 있습니다.
캠페인에 대한 클릭률이 높으면 피싱 이메일의 난이도를 낮춰야 할 가능성이 높습니다.
현재 수준에서 사람들을 교육하는 데 더 많은 시간을 할애하십시오.
궁극적으로 피싱 링크 클릭률을 낮추고자 합니다.
피싱 시뮬레이션에서 좋은 클릭률 또는 나쁜 클릭률이 무엇인지 궁금할 수 있습니다.
sans.org에 따르면 귀하의 첫 번째 피싱 시뮬레이션은 25-30%의 평균 클릭률을 산출할 수 있습니다..
정말 높은 수치인 것 같습니다.
다행스럽게도 그들은 그것을보고했습니다. 9-18개월의 피싱 교육 후 피싱 테스트의 클릭률은 5 % 미만.
이 숫자는 피싱 교육에서 원하는 결과를 대략적으로 추정하는 데 도움이 될 수 있습니다.
첫 번째 피싱 이메일 시뮬레이션을 시작하려면 테스트 도구의 IP 주소를 화이트리스트에 추가해야 합니다.
이렇게 하면 직원이 이메일을 받을 수 있습니다.
첫 번째 모의 피싱 이메일을 만들 때 너무 쉽거나 어렵게 만들지 마십시오.
청중도 기억해야 합니다.
동료가 소셜 미디어를 많이 사용하지 않는 경우 가짜 LinkedIn 비밀번호 재설정 피싱 이메일을 사용하는 것은 좋은 생각이 아닐 수 있습니다. 테스터 이메일은 회사의 모든 사람이 클릭할 이유가 있을 정도로 충분히 광범위해야 합니다.
광범위한 호소력을 가진 피싱 이메일의 몇 가지 예는 다음과 같습니다.
보내기를 누르기 전에 청중이 메시지를 어떻게 받아들이는지에 대한 심리를 기억하십시오.
계속해서 피싱 교육 이메일을 직원에게 보냅니다. 사람들의 기술 수준을 높이기 위해 시간이 지남에 따라 천천히 난이도를 높이고 있는지 확인하십시오.
월별 이메일 전송을 권장합니다. 조직을 너무 자주 "피싱"하면 조직이 너무 빨리 파악될 수 있습니다.
직원을 붙잡고 조금 방심하는 것이 보다 현실적인 결과를 얻는 가장 좋은 방법입니다.
매번 같은 유형의 "피싱" 이메일을 보낸다면 직원들에게 다양한 사기에 대응하는 방법을 가르치지 않을 것입니다.
다음과 같은 여러 가지 각도를 시도해 볼 수 있습니다.
새 캠페인을 보낼 때 항상 청중에 대한 메시지의 관련성을 미세 조정하고 있는지 확인하십시오.
관심 대상과 관련이 없는 피싱 이메일을 보내는 경우 캠페인에서 많은 응답을 받지 못할 수 있습니다.
직원들에게 다른 캠페인을 보낸 후 처음으로 사람들을 속인 오래된 캠페인 중 일부를 새로 고치고 해당 캠페인에 대해 새로운 스핀을 수행합니다.
사람들이 배우고 향상되고 있음을 확인하면 교육의 효과를 알 수 있습니다.
여기에서 특정 유형의 피싱 이메일을 식별하는 방법에 대한 추가 교육이 필요한지 여부를 알 수 있습니다.
자체 피싱 교육 프로그램을 만들 것인지 또는 프로그램을 아웃소싱할 것인지를 결정하는 데는 3가지 요소가 있습니다.
보안 엔지니어이거나 회사에 보안 엔지니어가 있는 경우 기존 피싱 플랫폼을 사용하여 쉽게 피싱 서버를 생성하여 캠페인을 만들 수 있습니다.
보안 엔지니어가 없는 경우 자체 피싱 프로그램을 만드는 것은 불가능할 수 있습니다.
조직에 보안 엔지니어가 있을 수 있지만 사회 공학 또는 피싱 테스트 경험이 없을 수 있습니다.
경험이 있는 사람이 있으면 자체 피싱 프로그램을 만들 수 있을 만큼 신뢰할 수 있습니다.
이것은 중소 기업에게 정말 큰 요소입니다.
팀의 규모가 작은 경우 보안 팀에 다른 작업을 추가하는 것이 편리하지 않을 수 있습니다.
다른 숙련된 팀이 귀하를 위해 작업을 수행하도록 하는 것이 훨씬 더 편리합니다.
이 전체 가이드를 통해 직원을 교육할 수 있는 방법을 파악했으며 피싱 교육을 통해 조직을 보호할 준비가 되었습니다.
무엇 지금?
귀하가 보안 엔지니어이고 지금 첫 번째 피싱 캠페인을 시작하려는 경우, 오늘 시작하는 데 사용할 수 있는 피싱 시뮬레이션 도구에 대해 자세히 알아보려면 여기로 이동하세요.
또는…
피싱 캠페인을 실행하기 위한 관리형 서비스에 대해 알아보고 싶다면, 여기에서 피싱 교육 무료 평가판을 시작하는 방법에 대해 자세히 알아보세요.
체크리스트를 사용하여 비정상적인 이메일을 식별하고 피싱이면 신고하세요.
사용자를 보호할 수 있는 피싱 필터가 있지만 100%는 아닙니다.
피싱 이메일은 지속적으로 진화하고 있으며 결코 동일하지 않습니다.
에 당신의 회사를 보호 참여할 수 있는 피싱 공격으로부터 피싱 시뮬레이션 성공적인 피싱 공격의 기회를 줄이기 위해.
이 가이드를 통해 비즈니스에 대한 피싱 공격의 가능성을 줄이기 위해 다음에 해야 할 일을 파악할 수 있도록 충분히 배웠기를 바랍니다.
질문이 있거나 피싱 캠페인에 대한 지식이나 경험을 공유하고 싶다면 의견을 남겨주세요.
이 가이드를 공유하고 소문을 퍼뜨리는 것을 잊지 마세요!
우박
9511 퀸즈 가드 Ct.
로렐, MD 20723
전화 번호 : (732) 771-9995
이메일: info@hailbytes.com
