스미싱은 문자 메시지를 사용하여 피해자를 속여 귀중한 정보를 파헤치거나 악성 코드를 설치하거나 돈을 기부하도록 하는 사이버 공격입니다.
멋지다
스미싱은 사기성 문자 메시지를 사용하여 피해자를 속이는 사이버 공격입니다.
공격의 목표는 누군가에게 메시지가 신뢰할 수 있는 사람이나 조직에서 온 것이라고 확신시킨 다음 은행 계좌 자격 증명이나 휴대폰 장치에 대한 액세스와 같이 공격자가 악용할 수 있는 정보를 제공하는 조치를 취하는 것입니다.
스미싱은 1990년대부터 존재해 온 이메일 기반 피싱의 변종인 SMS 기반 사기입니다.
그러나 사용자는 컴퓨터보다 휴대폰에 있는 의심스러운 메시지를 덜 경계하는 경우가 많기 때문에 이메일 메시지보다 의심스러운 문자 메시지를 열 가능성이 더 큽니다.
그리고 개인용 장치에는 일반적으로 기업이 가지고 있는 보안 조치가 없습니다.
이 오래된 트릭은 점점 더 대중화되고 있습니다.
피싱, 스미싱, 비싱의 차이점
스미싱의 세부 사항을 탐구하기 전에 관련된 공격 기술의 용어를 이해하는 것이 중요합니다.
피싱은 이러한 모든 공격의 조상이며 본질적으로 피해자를 속이기 위해 이메일 메시지를 보내는 것으로 시작합니다.
Phish는 물고기라는 단어와 유사합니다.
비유는 어부가 갈고리(피싱 이메일)를 던지고 물고기(사용자)가 자신을 물 때까지 낚아채는 것입니다.
이 용어는 1990년대 중반 AOL 사용자가 자신의 자격 증명을 포기하도록 속이려는 해커들 사이에서 시작되었습니다.
‘ph’는 아마도 phreaking이라는 용어의 영향일 것입니다.
프리킹(Phreaking)은 전화 프리킹(Telephone Phreaking)의 약자로 전화 단말기나 시스템 결함을 악용해 무료 전화를 받는 행위를 말한다.
스미싱은 본질적으로 SMS를 통한 피싱입니다.
피싱(phishing)과 SMS(Short Message Service)의 합성어로 SMS(Short Message Service)는 전화 문자 서비스에 사용되는 프로토콜입니다.
이 어원 때문에 때때로 “SMiShing”으로 쓰여진 단어를 볼 수 있습니다.
최근에는 자주 사라졌지만 위챗, 애플의 아이메시지(카카오톡 포함. 편집자 주)와 같은 SMS가 아닌 문자 서비스를 통한 사기성 시도도 스미싱에 포함된다.
스미싱은 적어도 2000년대 후반부터 존재해 왔으며 이제 스마트폰의 대중화로 인해 사이버 범죄자에게 더욱 매력적인 공격 벡터가 되었습니다.
Vishing은 이메일이나 문자 메시지 대신 음성 통화를 사용하는 유사한 유형의 공격입니다.
이 단어는 “음성”과 “피싱”의 합성어입니다.
스미싱과 비싱의 차이점에 대해서는 이 문서를 참조하십시오.
스미싱 공격의 3가지 범주 및 예
지금까지 몇 가지 이론적 용어를 설명했습니다.
스미싱이 실제로 어떻게 작동하고 사용자가 주의해야 할 사항에 대한 구체적인 예를 들어 보겠습니다.
스미싱 공격은 크게 3가지로 분류할 수 있습니다.
첫째, 사용자는 자신의 자격 증명을 공개하도록 속입니다.
스미싱 공격자는 사용자가 자신의 온라인 계정 중 하나에 로그인하는 데 사용할 수 있는 사용자 이름과 암호 또는 기타 중요한 정보를 제공하도록 사용자를 속일 수 있습니다.
특히 뱅킹 스미싱은 가장 흔하고 성공적인 공격 유형 중 하나입니다.
일반적인 뱅킹 스미싱 공격에 대한 좋은 그림을 제공하는 영국 소비자 정보 웹사이트입니다.
이러한 공격의 역설은 스미싱 공격자가 사용자의 해킹에 대한 두려움을 악용하여 사용자의 계정을 해킹한다는 것입니다.
은행에서 이체를 전송했음을 알리는 문자 메시지를 보내고, 대규모 이체 또는 새 수취인 추가에 대해 경고하고, 전화번호 또는 클릭 가능한 링크를 제공하여 계정에 대한 무단 액세스를 차단합니다.
물론 실제로는 이전이나 새로운 수신자가 없습니다.
이 링크는 사용자의 은행처럼 보이는 가짜 웹사이트로 사용자를 안내하고 사용자 이름과 암호를 묻고 사용자로부터 동일한 정보를 강탈하려는 사기꾼에게 전화번호를 연결합니다.
이러한 자격 증명이 도난되면 범죄자는 사용자의 은행 계좌에 로그인하여 약탈할 수 있습니다.
뱅킹 스미싱 공격은 종종 여러 가지 이유로 성공합니다.
그중 하나는 실제로 많은 은행이 사용자 계정의 의심스러운 활동에 대해 문자 메시지를 보내는 서비스를 제공한다는 것입니다.
적법한 메시지에는 은행이 사용자를 이미 알고 있음을 증명하는 정보가 포함되어야 합니다.
예를 들어 신용 카드 또는 은행 계좌 번호의 마지막 숫자일 수 있습니다.
세부 정보가 없는 계정에 대한 모호한 언급은 의심스럽게 검토해야 합니다.
또한 일반적으로 은행 웹사이트에 대한 직접 링크를 포함하지 마십시오.
미국 캘리포니아 주 오렌지 카운티에 있는 신용 조합에는 은행의 합법적인 문자 메시지에 표시되는 내용에 대한 유용한 가이드가 있습니다.
이용자가 메시지에 동의하지 않았거나 출처가 불분명한 경우 문자 메시지로 전송된 링크를 클릭하지 말고 브라우저나 앱을 사용하여 계정에 로그인하십시오.
피해자를 혼란스럽게 하는 또 다른 요인은 SMS 스푸핑 기법입니다.
많은 사이버 범죄자들이 SMS 스푸핑 기술을 사용하여 문자 메시지에 전화번호나 짧은 코드를 숨깁니다.
다른 번호에서 온 것처럼 보이는 문자 메시지를 보내는 것은 상대적으로 쉬운 작업이며 실제로 그렇게 보낼 충분한 이유가 있습니다.
사용자가 iMessage 또는 이와 유사한 도구를 사용하여 PC나 노트북에서 문자 메시지를 보낸 적이 있다면 SMS 스푸핑 기술을 사용한 것입니다.
그러나 공격자는 SMS 스푸핑을 사용하여 텍스트가 마치 은행에서 온 것처럼 합법적인 것처럼 보이게 할 수 있으며 전화기는 자동으로 이미 수신된 실제 텍스트로 그룹화합니다.
다른 사람이 당신을 속여 맬웨어를 다운로드하도록 시도합니다.
이 수법은 일종의 이메일 피싱이지만 모바일 사용자와 모바일 장치를 대상으로 합니다.
예를 들어 체코 공화국에 퍼진 스미싱 사기는 사용자가 해당 국가의 우체국에서 앱을 다운로드하도록 유도합니다.
실제로 스마트폰의 다른 앱에 입력된 신용카드 정보를 수집할 수 있는 트로이목마였다.
이메일이 아닌 SMS를 통해 수행되는 이러한 유형의 공격은 일반적으로 스마트폰에 애플리케이션을 설치하는 것이 더 어렵기 때문에 수행하기 어렵습니다.
iPhone 및 많은 Android 스마트폰은 App Store에서 서명되고 확인된 애플리케이션에서만 작동할 수 있기 때문입니다.
그러나 Android에서 앱 설치를 우회할 수 있으므로 SMS를 통해 앱을 설치하도록 허용하는 사람을 극도로 의심해야 합니다.
마지막으로 돈을 보낼 사람을 구하려는 사람. 이러한 유형의 스미싱은 기술적 해킹이라기보다 사기꾼의 영역에 가깝지만 특히 이메일을 많이 사용하지 않고 IT에 대해 잘 모르는 사람들에게는 큰 문제입니다.
해외 은행 계좌에 숨겨진 돈을 이체하려는 나이지리아 왕자의 이메일에 면역되지 않은 사람들이 여전히 있습니다.
스미싱 범죄자는 사용자가 자신을 믿도록 속이기 위해 몇 가지 일을 합니다.
미국 테네시의 한 여성은 개인 친구(개인 친구의 이름은 Facebook에서 온 것으로 보임)로부터 정부 보조금에 대해 받은 것으로 생각되는 문자 메시지를 받았습니다.
그러나 실제로 SMS는 고전적인 “사전” 사기였습니다.
피해자들은 이 정부 보조금을 받기 위해 수백 달러의 “세금”을 지불해야 한다는 말을 듣습니다.
이러한 사기는 피해자의 절망이나 탐욕을 이용할 뿐만 아니라 정반대의 접근 방식을 취하고 사용자의 관대함을 이용합니다.
한 범죄자가 루이지애나에 있는 피해자에게 지역 교회의 목사인 척 사칭하여 자선 기금을 마련하기 위해 문자를 보냈습니다.
사실, 이 범죄자는 현금을 손에 넣었습니다.
스미싱의 악영향
공격자는 은행 계좌를 습격하거나 금융 또는 위치 정보에 액세스할 수 있는 스마트폰에 맬웨어를 설치하거나 불필요하게 돈을 쓰도록 속일 수 있습니다.
더 큰 규모에서 스미싱 범죄는 정부와 금융 기관이 오늘날 가장 널리 사용되는 통신 플랫폼 중 하나인 문자 메시지를 통한 고객과의 통신을 신뢰하기 어렵게 만듭니다.
스미싱 통계
아마도 스미싱에 국한되지 않은 통계는 문자 메시지의 98%가 읽히고 응답률이 45%(이메일의 경우 각각 20% 및 6%)라는 것일 수 있습니다.
사용자가 이메일 피싱 및 스팸에 대해 더 의심하게 되면서 성공률이 떨어지고 스마트폰이 우리 삶의 일부가 되면서 문자 메시지가 더 매력적인 공격 벡터가 되었습니다.
Verizon 2020 Mobile Security Index에 따르면 기업 사용자의 15%가 2019년 3분기에 스미싱 링크를 경험했습니다.
Proofpoint의 2020년 피싱 현황 보고서에 따르면 조사 대상 조직의 84%가 스미싱 공격을 경험했습니다.
보고서 응답자의 30%가 스미싱이라는 용어를 알고 있었으며 이는 1년 전의 25%에서 증가한 것입니다.
스미싱을 방지하는 방법
조직이 스미싱 공격을 막을 수 있는 방법에 대한 핵심을 담고 있는 Proofpoint 보고서의 놀라운 통계가 있습니다.
조사 대상 조직의 25%만이 이러한 공격을 인식하고 적절하게 대응하도록 직원을 교육하기 위해 스미싱 및 비싱 시뮬레이션을 실행했습니다.
이러한 시뮬레이션을 실행한 조직의 오류율은 6%로 좋지도 나쁘지도 않았습니다.
이러한 유형의 시뮬레이션은 기업이 트레이드 오프를 피하도록 직원을 교육하는 가장 좋은 방법 중 하나입니다.
피싱 및 피싱 시뮬레이션은 지속적인 보안 인식 교육의 일부여야 합니다.
모의 스미싱 공격은 추가 교육이 필요한 사용자와 가장 위험에 처한 사용자를 식별하여 교육 노력을 목표로 하는 데 도움이 될 수 있습니다.
회사에서 시뮬레이션이나 교육 프로그램을 실행하지 않더라도 사용자가 스미싱 공격에 저항하도록 교육할 수 있습니다.
시애틀에 기반을 둔 스타트업 ZipWhip은 몇 가지 상식적인 조언을 공유했습니다.
– 어색하거나 비문법적인 언어를 사용하는 문자 메시지를 주의하십시오.
– 사실이 되기에는 너무 좋아 보이는 제안을 주의하십시오.
– 포함된 링크를 클릭하거나 문자 메시지에서 직접 앱을 다운로드하지 마십시오.
– 세무서 및 공공기관은 SMS로 통신하지 않습니다.
원천
SMS 피싱 스미싱이란 무엇이며 이를 방지하는 방법은 무엇입니까?