Egress의 조사에 따르면 2023년에는 무려 94%의 기업이 피싱 공격을 받았는데, 이는 전년 대비 40% 증가한 수치입니다.
피싱 급증의 배후에는 무엇이 있을까요? 인기 있는 답변 중 하나는 AI입니다. 특히 생성적 AI는 위협 행위자가 피싱 캠페인에 사용할 수 있는 콘텐츠를 만드는 것을 훨씬 더 쉽게 만들어 주었습니다. 악성 이메일과 더 정교한 경우 딥페이크 비디오가 있습니다. 또한 AI는 위협 행위자가 피싱 캠페인의 일환으로 피해자의 컴퓨터와 서버에 심는 맬웨어를 작성하는 데 도움이 될 수 있습니다.
PhaaS(Phishing as a Service)는 피싱 위협이 사상 최고조에 달한 이유를 설명하는 데 가끔 인용되는 또 다른 개발입니다. PhaaS는 악의적인 당사자가 숙련된 공격자를 고용하여 피싱 캠페인을 수행할 수 있도록 허용함으로써 원한이 있거나 의심하지 않는 피해자에게서 돈을 빼내고자 하는 사람이 피싱 공격을 시작하기 쉽게 만듭니다.
피싱이 민첩해졌습니다
피싱 급증의 원인을 정확히 이해하려면 위협 행위자가 AI와 PhaaS를 사용하여 새로운 방식으로 작동하는 방식, 특히 변화하는 이벤트에 보다 신속하게 대응하는 방식을 분석해야 합니다.
과거에는 피싱 콘텐츠를 수동으로 만드는 데 필요한 시간과 노력(생성적 AI를 사용하는 것과 대조적으로)으로 인해 위협 행위자가 예상치 못한 사건을 이용해 영향력 있는 캠페인을 시작하기 어려웠습니다. 마찬가지로 PhaaS 솔루션이 없다면 피싱으로 조직을 표적으로 삼고자 하는 그룹은 공격을 시작할 빠르고 쉬운 방법이 없는 경우가 많았습니다. 그러나 최근의 발전은 이것이 변화하고 있음을 시사합니다.
피싱 및 사칭 방지 핸드북에서 추세하는 피싱 및 사칭 TTP를 확인하세요.
진화하는 이벤트를 타겟으로 하는 피싱 공격
피싱은 세상의 현재 이벤트에 집착하여 이러한 이벤트를 둘러싼 흥분이나 두려움을 이용하는 습관이 있습니다. 이는 특히 CrowdStrike “죽음의 블루 스크린”(BSOD)과 같은 진화하는 이벤트의 경우 더욱 그렇습니다.
CrowdStrike BSOD 이후 피싱
사이버 보안 업체인 CrowdStrike는 7월 19일에 버그가 있는 업데이트를 출시했는데, 이로 인해 Windows 컴퓨터가 제대로 부팅되지 않고 사용자들은 악명 높은 블루 스크린(BSOD)을 쳐다보게 되었습니다.
CrowdStrike는 비교적 빠르게 문제를 해결했지만, 위협 행위자들이 실패에 대한 해결책을 모색하는 개인과 기업을 이용하도록 설계된 피싱 캠페인을 시작하기 전이었습니다. CrowdStrike 사건 후 첫날, Cyberint는 이와 관련된 17개의 타이포스쿼팅 도메인을 감지했습니다. 이 도메인 중 최소 두 개는 PayPal을 통해 기부를 요청하려는 노력으로 Crowdstrike의 해결 방법을 복사하여 공유하고 있었습니다. Cyberint는 빵가루를 따라 기부 페이지를 추적하여 Aliaksandr Skuratovich라는 소프트웨어 엔지니어에게 전달했고, 그는 LinkedIn 페이지에도 웹사이트를 게시했습니다.
다른 곳에서 시작된 수정을 위한 기부금을 모아 이익을 얻으려는 시도는 CrowdStrike 사건을 이용하려는 보다 온건한 시도 중 하나였습니다. 다른 타이포스쿼팅된 도메인은 최대 1,000유로의 지불을 대가로 수정(CrowdStrike에서 무료로 제공)을 제공한다고 주장했습니다. 도메인은 삭제되었지만 조직이 피해를 입기 전에는 그렇지 않았습니다. Cyberint의 분석에 따르면 이 계획에 연결된 암호화폐 지갑은 약 10,000유로를 모았습니다.
계획된 이벤트에 대응하는 피싱 공격
계획된 이벤트의 경우 공격은 종종 더 다양하고 자세합니다. 위협 행위자는 CrowdStrike 중단과 같은 예상치 못한 이벤트의 여파보다 준비할 시간이 더 많습니다.
올림픽에서의 피싱
2024년 파리 올림픽과 관련된 피싱 공격은 위협 행위자들이 현재 이벤트에 연계하여 더 효과적인 캠페인을 실행할 수 있는 능력을 보여주었습니다.
이 범주에 해당하는 공격의 한 예로, Cyberint는 수신자가 올림픽 티켓을 획득했으며 티켓을 수령하려면 배송 수수료를 충당할 소액의 지불이 필요하다는 주장을 하는 피싱 이메일을 감지했습니다.
하지만 수신자가 수수료를 내기 위해 금융 정보를 입력하면 공격자는 이를 이용해 피해자를 사칭하고 피해자의 계정을 이용해 구매를 진행했습니다.
올림픽과 관련된 피싱의 또 다른 사례에서 위협 행위자들은 2024년 3월에 티켓 판매를 주장하는 전문적인 웹사이트를 등록했습니다. 사실, 그것은 사기였습니다.
해당 사이트는 그렇게 오래되지 않았고, 따라서 역사를 바탕으로 한 권위 있는 사이트는 아니었지만, 구글 검색 순위에서는 상위에 올랐고, 이로 인해 온라인으로 올림픽 티켓을 구매하고자 검색하는 사람들이 이 사기에 속을 가능성이 커졌습니다.
피싱과 축구
비슷한 공격이 UEFA 유로 2024 축구 선수권 대회에서도 발생했습니다. 가장 주목할 만한 것은 위협 행위자들이 이벤트를 조직한 스포츠 협회인 UEFA를 사칭한 사기성 모바일 앱을 출시했다는 것입니다. 앱이 조직의 공식 이름과 로고를 사용했기 때문에 일부 사람들은 앱이 합법적이라고 생각하기 쉬웠을 것입니다.
이러한 앱은 일반적으로 악성 앱을 감지하고 삭제하는 Apple이나 Google이 운영하는 앱 스토어에 호스팅되지 않았다는 점에 유의해야 합니다(하지만 남용을 방지할 만큼 충분히 빠르게 삭제할 것이라는 보장은 없습니다). 이러한 앱은 규제되지 않은 타사 앱 스토어를 통해 제공되어 소비자가 찾기가 다소 어려웠지만, 대부분의 모바일 기기에는 사용자가 타사 앱 스토어를 탐색하여 악성 소프트웨어를 다운로드하려고 할 경우 앱을 차단할 수 있는 제어 기능이 없습니다.
피싱 및 반복 이벤트
피싱 공격자는 반복되는 이벤트가 발생할 경우 상황을 악용해 강력한 공격을 시작하는 방법을 알고 있습니다.
예를 들어, 기프트 카드 사기, 미납 사기, 가짜 주문 영수증은 휴일 시즌에 급증합니다. 또한 피해자를 유인하여 가짜 계절 일자리에 지원하게 하여 개인 정보를 수집하려는 피싱 사기도 마찬가지입니다.
휴일은 온라인 쇼핑의 증가, 매력적인 거래, 홍보 이메일의 홍수로 인해 피싱에 완벽한 폭풍을 만들어냅니다. 사기꾼은 이러한 요소를 악용하여 기업에 상당한 재정적 및 평판적 피해를 입힙니다.
피싱의 경우 타이밍이 중요합니다
안타깝게도 AI와 PhaaS로 인해 피싱이 더욱 쉬워졌고, 위협 행위자들이 이런 종류의 전략을 계속 채택할 것으로 예상됩니다.
기업과 개인이 취할 수 있는 전략은 피싱 및 사칭 방지 핸드북을 참조하세요.
그러나 기업에서는 특정한 상황이나 (반복되는 피싱 캠페인의 경우) 특정 시기에 공격이 급증할 것으로 예상하고 위험을 완화하기 위한 조치를 취할 수 있습니다.
예를 들어, 직원과 소비자에게 현재 이벤트와 관련된 콘텐츠에 응답할 때 각별히 주의하도록 교육할 수 있습니다.
AI와 PhaaS가 피싱을 더 쉽게 만들었지만, 기업과 개인은 여전히 이러한 위협으로부터 방어할 수 있습니다. 위협 행위자가 사용하는 전술을 이해하고 효과적인 보안 조치를 구현함으로써 피싱 공격의 희생자가 될 위험을 줄일 수 있습니다.