피싱의 유형 - 치트 시트 및 알아야 할 사항

축하합니다(Congratulations) ! 당신은 백만 달러(Dollars) 를 얻었 습니다. 은행 정보를 보내주십시오.” 인터넷(Internet) 을 사용 중이라면 받은 편지함이나 정크 메일함에서 이러한 이메일을 본 적이 있을 것입니다. 이러한 이메일을 피싱이라고 합니다. 범죄자가 컴퓨터 기술을 사용하여 개인이나 기업이 될 수 있는 피해자의 데이터를 훔치는 사이버 범죄입니다. 이 피싱 치트 시트(Phishing cheat sheet) 는 범죄의 피해자가 되지 않도록 이 사이버 범죄에 대한 최대한의 지식을 제공하기 위한 시도입니다. 또한 피싱 유형에(types of Phishing) 대해서도 논의합니다 .

피싱의 유형

피싱이란 무엇입니까?

피싱은 범죄자가 가짜 이메일과 문자 메시지를 사용하여 피해자의 데이터를 훔칠 의도로 피해자를 유인하는 사이버 범죄입니다. 주로 대량 이메일 캠페인을 통해 이루어집니다. 그들은 임시 이메일 ID(IDs) 와 임시 서버를 사용하기 때문에 당국에서 이들을 압수하기 어려워집니다. 그들은 수십만 명의 수신자에게 전송되는 일반 템플릿을 가지고 있으므로 최소한 소수는 속일 수 있습니다. 피싱 공격을 식별하는 방법을(how to identify phishing attacks) 알아 봅니다 .

왜 피싱이라고 합니까?

당신은 낚시에 대해 알고 있습니다. 실생활에서 낚시꾼은 물고기가 낚싯대에 걸리면 잡을 수 있도록 미끼를 놓는다. 인터넷(Internet) 에서도 그들은 설득력 있고 진짜처럼 보이는 메시지의 형태로 미끼를 사용합니다 . 범죄자들이 미끼를 사용하기 때문에 피싱이라고 합니다. 이것은 현재 피싱이라고 불리는 암호 낚시의 약자입니다.

미끼는 최종 사용자가 미끼를 클릭하도록 할 수 있는 금전 또는 상품의 약속일 수 있습니다. 때로는 미끼가 다르며(예: 위협 또는 긴급) Amazon(Amazon) , Apple 또는 PayPal 에서 계정을 다시 인증해야 한다고 말하는 링크를 클릭하는 것과 같은 조치를 요구합니다 .

phishing의 발음을 어떻게 합니까?

PH-ISHING으로 발음합니다. 피싱의 'PH '(F) .

피싱은 얼마나 흔한가요?

피싱 공격은 맬웨어보다 더 일반적입니다. 즉, 이메일, 가짜 웹 사이트 또는 정품 웹 사이트의 가짜 광고를 사용하여 멀웨어를 유포하는 사이버 범죄자에 비해 피싱에 참여하는 사이버 범죄자가 점점 더 많아지고 있습니다.

요즘 피싱 킷은 온라인에서 판매되고 있어 네트워크에 대한 지식이 있는 사람이라면 누구나 사서 불법 작업에 사용할 수 있습니다. 이러한 피싱 키트는 웹사이트 복제에서 매력적인 이메일 또는 텍스트 편집에 이르기까지 모든 것을 제공합니다.

피싱 유형

피싱에는 여러 유형이 있습니다. 인기있는 것들 중 일부는 다음과 같습니다:

  1. (General)개인 정보를 묻는 일반 일반 이메일은 가장 많이 사용되는 피싱 형태입니다.
  2. 스피어 피싱
  3. 고래잡이 사기
  4. 스미싱(SMS 피싱) 및 비싱
  5. QRishing 사기
  6. 탭내빙

1] 일반 피싱

가장 기본적인 형태의 피싱에서는 링크를 클릭하도록 요청하면서 무언가에 대해 경고하는 이메일과 문자를 접하게 됩니다. 어떤 경우에는 보낸 이메일의 첨부 파일을 열어달라고 요청합니다.

이메일 제목에서 사이버 범죄자는 이메일이나 텍스트를 열도록 유인합니다. 때때로 제목은 귀하의 온라인 계정 중 하나가 업데이트가 필요하고 긴급하게 들린다는 것입니다.

이메일이나 문자의 본문에는 가짜지만 믿을 수 있는 몇 가지 설득력 있는 정보가 있습니다. 그런 다음 행동 유도로 끝납니다. 피싱 이메일이나 문자에 포함된 링크를 클릭하라는 메시지가 표시됩니다. 문자(Text) 메시지는 전화로 읽을 때 클릭하지 않고는 도착지 또는 전체 링크를 확인할 수 없는 단축 URL(URLs) 을 사용하기 때문에 더 위험 합니다. 전체 URL(URL) 을 확인하는 데 도움이 될 수 있는 앱이 어디에나 있을 수 있지만 아직 내가 아는 것은 없습니다.

2] 스피어 피싱

대상이 비즈니스 하우스의 직원인 표적 피싱을 나타냅니다. 사이버 범죄자는 직장 ID(IDs) 를 얻고 해당 주소로 가짜 피싱 이메일을 보냅니다. 회사 최고위급의 이메일로 표시되어 답장을 서두르게 만들며… 사이버 범죄자가 비즈니스 하우스의 네트워크에 침입하는 것을 돕습니다. 여기에서 스피어 피싱( spear phishing) 에 대한 모든 내용을 읽어보십시오 . 이 링크에는 스피어 피싱의 몇 가지 예도 포함되어 있습니다.

3] 포경

웨일링(Whaling) 은 스피어 피싱과 유사합니다. 웨일링(Whaling)스피어(Spear) 피싱 의 유일한 차이점은 스피어 피싱은 모든 직원을 대상으로 할 수 있는 반면 웨일링은 특정 권한 있는 직원을 대상으로 한다는 점입니다. 방법은 동일합니다. 사이버 범죄자는 피해자의 공식 이메일 ID(IDs) 와 전화번호를 받아 기업 인트라넷(corporate intranet) 을 열어 백도어 액세스 권한을 부여할 수 있는 조치를 취해야 하는 일부 요청이 포함된 설득력 있는 이메일이나 문자를 보냅니다. 고래잡이 피싱 공격(Whaling phishing attacks) 에 대해 자세히 알아보세요 .

4] 스미싱과 비싱

사이버 범죄자가 단문 메시지 서비스( SMS )를 사용하여 피해자의 개인 정보를 알아내는 것을 SMS 피싱 또는 줄여서 스미싱이라고 합니다. Smishing 및 Vishing 세부 사항 에 대해 읽어보십시오 .

5] QRishing 사기

QR 코드는 새로운 것이 아닙니다. 정보가 짧고 비밀로 유지되어야 하는 경우 QR 코드를 구현하는 것이 가장 좋습니다. 다른 지불 게이트웨이, 은행 광고 또는 단순히 WhatsApp 웹(WhatsApp Web) 에서 QR 코드를 보았을 수 있습니다 . 이 코드에는 전체에 검은색이 흩어져 있는 정사각형 형태의 정보가 포함되어 있습니다. QR 코드가 제공하는 모든 정보가 무엇인지 알 수 없으므로 항상 알 수 없는 코드 소스를 피하는 것이 가장 좋습니다. 즉, 이메일로 QR 코드를 받거나 모르는 단체에서 문자를 보내면 스캔하지 마십시오. 스마트폰에서 QRishing 사기에 대해 자세히 알아 보세요.

6] 탭내빙

Tabnabbing 은 다른 탭을 방문하면 방문했던 합법적인 페이지를 사기성 페이지로 변경합니다. 의 말을하자:

  1. 정품 웹사이트로 이동합니다.
  2. 다른 탭을 열고 다른 사이트를 탐색합니다.
  3. 잠시 후 첫 번째 탭으로 돌아갑니다.
  4. Gmail 계정 에 대한 새로운 로그인 정보로 인사드립니다 .
  5. 파비콘을 포함한 페이지가 실제로 변경되었는지 의심하지 않고 다시 로그인합니다!

이것은 Tabjacking(Tabnabbing) 이라고도 하는 Tabnabbing(Tabjacking) 입니다.

요즘 많이 사용되지 않는 다른 유형의 피싱이 있습니다. 나는 이 포스트에서 그들을 지명하지 않았다. 피싱에 사용되는 방법은 범죄에 새로운 기술을 계속 추가하고 있습니다. 관심이 있다면 다양한 유형의 사이버 범죄를 알아두십시오 .

피싱 이메일 및 문자 식별

사이버 범죄자들은 ​​데이터를 훔칠 수 있도록 불법 링크를 클릭하도록 사용자를 속이기 위해 모든 조치를 취하지만 이메일이 가짜라는 메시지를 표시하는 몇 가지 포인터가 있습니다.

대부분의 경우 피싱 공격자들은 여러분에게 친숙한 이름을 사용합니다. Amazon , Apple , eBay 등과 같은 기존 은행 또는 기타 기업의 이름이 될 수 있습니다 . 이메일 ID를 찾으십시오.

피싱 범죄자는 Hotmail , Outlook , Gmail 등과 같은 영구 이메일을 사용하지 않습니다 . 인기 있는 이메일 호스팅 제공업체입니다. 그들은 임시 이메일 서버를 사용하므로 출처를 알 수 없는 것은 의심스럽습니다. 경우에 따라 사이버 범죄자 는 비즈니스 이름을 사용하여 이메일 ID 를 스푸핑하려고 합니다. 예를 들어 (IDs)[email protected] 이메일 ID에는 Amazon 이름이 포함되어 있지만 자세히 보면 Amazon 서버에서 온 것이 아니라 일부 가짜 이메일입니다. .com 서버.

따라서 http://axisbank.com에서 보낸 메일이 [email protected] 라는 이메일 ID에서 온 경우 주의가 필요합니다. 또한 철자 오류를 찾습니다. Axis Bank 예 에서 이메일 ID가 axsbank.com에서 온 경우 피싱 이메일입니다.

PhishTank 는 피싱 웹사이트를 확인하거나 신고하는 데 도움이 됩니다.

피싱 주의사항

위 섹션에서는 피싱 이메일 및 텍스트 식별에 대해 설명했습니다. 모든 예방 조치의 기본은 단순히 이메일에 있는 링크를 클릭하는 대신 이메일의 출처를 확인할 필요가 있다는 것입니다. 비밀번호와 보안 질문을 누구에게도 알려주지 마십시오. 이메일을 보낸 이메일 ID를 확인합니다.

친구가 보낸 문자라면 그 친구가 정말 보냈는지 확인하고 싶을 수도 있습니다. 그에게 전화를 걸어 링크가 포함된 메시지를 보냈는지 물어볼 수 있습니다.

출처를 모르는 이메일의 링크를 클릭하지 마십시오. 정품으로 보이는 이메일의 경우에도 Amazon 에서 보낸다고 가정합니다. 링크를 클릭하지 마십시오(do not click on the lin) . 대신 브라우저를 열고 Amazon 의 (Amazon)URL 을 입력하십시오 . 거기에서 실제로 엔터티에 세부 정보를 보내야 하는지 여부를 확인할 수 있습니다.

일부 링크는 가입을 확인해야 한다는 메시지가 표시됩니다. 최근에 가입한 서비스가 있는지 확인하세요. 기억나지 않으면 이메일 링크를 잊어버리십시오.

피싱 링크를 클릭하면 어떻게 됩니까?

즉시 브라우저를 닫습니다. 일부 스마트폰의 기본 브라우저와 같이 브라우저를 닫을 수 없는 경우에는 만지거나 정보를 입력하지 마십시오. 이러한 브라우저의 각 탭을 수동으로 닫습니다. BitDefender(Remember) 또는 Malwarebytes 를 사용하여 검사를 실행할 때까지 앱에 로그인하지 마십시오(BitDefender) . 사용할 수 있는 유료 앱도 있습니다.

컴퓨터도 마찬가지입니다. 링크를 클릭하면 브라우저가 실행되고 일종의 중복 웹사이트가 나타납니다. 브라우저의 아무 곳이나 탭하거나 터치하지 마세요. 브라우저(Just) 닫기 버튼을 클릭하거나 Windows 작업 관리자(Windows Task Manager) 를 사용하여 닫습니다. 컴퓨터에서 다른 응용 프로그램을 사용하기 전에 맬웨어 방지 검사를 실행하십시오.

읽기(Read) : 온라인 사기, 스팸 및 피싱 웹사이트는 어디에 보고 합니까?

이 피싱 치트 시트에서 내가 빠뜨린 것이 있으면 댓글을 달고 알려주십시오.(Please comment and let us know if I left out anything in this phishing cheat sheet.)



About the author

저는 이 분야에서 거의 10년의 경험을 가진 소프트웨어 엔지니어이자 블로거입니다. 저는 Mac 및 Windows 플랫폼을 위한 도구 리뷰 및 튜토리얼 제작을 전문으로 할 뿐만 아니라 소프트웨어 개발 주제에 대한 전문가 논평을 제공합니다. 저는 또한 전 세계의 기술 컨퍼런스에서 프레젠테이션을 한 전문 연사이자 강사입니다.



Related posts