2022. 10. 14. 14:23ㆍBlog
블로그
스미싱이란 무엇이며 이를 예방하는 방법
이 블로그에서는 스미싱이 무엇인지, 스미싱 메시지를 인식하는 방법, 통신 사업자가 고객을 보호가기 위해 해야 할 일을 정확히 정의합니다.
스미싱이란?
스미싱은 이메일 피싱과 유사한 전자 사기 유형으로, 사기꾼이 개인 정보를 훔치거나 맬웨어(악성코드)를 유포하기 위해 합법적인 회사에서 보낸 것처럼 가장하여 잠재적인 피해자에게 SMS 메시지를 보냅니다.
낚시꾼이 사실적인 미끼를 사용하여 물고기를 낚싯바늘로 유인하는 것처럼 사기꾼은 의심을 일으키지 않으면서 낚시꾼을 끌어들이기 위해 고안된 다양한 전술로 사람들의 관심을 끌 것입니다.
피싱과 스미싱의 차이점은 무엇입니까?
스미싱은 '미끼' 메시지가 이메일이 아닌 SMS로 전달된다는 점에서 피싱과 동일한 SMS입니다.
즉, 수신 장치가 PC가 아닌 모바일일 가능성이 높으므로 공격에 포함된 모든 맬웨어(악성코드)는 모바일 장치를 감염시키고 전화의 연락처를 통해 확산되도록 설계됩니다.
스미싱 메시지도 인터넷이 아닌 모바일 네트워크를 통해 전달되므로 공격에 대처하기 위해 다른 보안 솔루션 세트를 배치해야 합니다 (자세한 내용은 나중에 설명)
스미싱은 어떻게 작동합니까?
효과적인 스미싱 공격은 수신자가 그렇지 않았다면 하지 않았을 조치를 취하는 것에 달려 있습니다. 이것은 단순히 SMS 메시지의 링크를 클릭하거나 회신 SMS 또는 가짜 방문 페이지를 통해 개인 정보를 제출하는 것일 수 있습니다.
사기꾼은 신뢰할 수 있는 브랜드로 가장하거나 수집된 데이터 또는 초기 접근 방식에서 제공된 정보를 활용하여 최종 공격을 보다 믿을 수 있게 만드는 다단계 사회 공학 전술을 사용 하는 등 사람들이 이러한 조치를 취하도록 설득하는 여러 가지 방법을 가지고 있습니다 . 이것은 이름과 주소에서 계좌 번호에 이르기까지 무엇이든 될 수 있습니다.
경계선-합법적인 게릴라 마케팅 전술에서 피해자에게 상당한 재정적 영향을 미칠 수 있는 정교한 다단계 범죄 공격에 이르기까지 광범위하게 세 가지 유형의 스미싱 공격이 있습니다.
1. 모방 마케팅
법의 회색 영역에서 기업은 사칭하거나 단순히 그 사람이 이미 알고 신뢰하는 잘 알려진 브랜드라고 제안하는 사람에게 연락할 수 있습니다. 이 경우 피해자는 주의를 기울이지 않았다면, 속아서 제품이나 제안을 보게됩니다.
이게 범죄야? 물론 상표가 있는 브랜드를 직접 사칭하는 것은 불법이지만 파렴치한 회사는 기존 비즈니스에 유사한 브랜드 및 메시지를 사용하여 법을 어깁니다.
2. 악성코드 공격
이러한 유형의 공격은 악의적이지만 정교함이 제한됩니다. 다시 한 번, 수신자는 메시지가 합법적인 출처에서 온 것이라고 믿게 만들지만, 이번에는 클릭하도록 권장되는 링크를 클릭하면 악성코드가 기기에 다운로드되어 감염될 수 있으며 잠재적으로 전화의 연락처 목록을 통해 자동으로 배포될 수 있습니다.
이에 대한 최근의 예는 안드로이드 장치를 대상으로 하고 온라인 뱅킹 세부 정보 및 기타 개인 데이터를 훔치도록 설계된 Flubot 입니다. 이를 막기 위해 11개국의 경찰이 참여하는 국제적 발의가 필요했습니다.
Android 또는 iOS에 관계없이 모든 최신 스마트 폰에는 맬웨어(악성코드)의 자동 다운로드를 중지하는 보안 기능이 있지만 사용자가 자발적으로 무언가를 다운로드하거나 속임수로 개인 데이터를 제3자에게 제공하는 경우 이러한 기능은 훨씬 덜 효과적입니다.
3. 가짜 방문 페이지
가장 뻔뻔하고 정교하며 값비싼 형태의 스미싱은 사기범이 합법적인 비즈니스에서 고객에게 보내는 메시지를 모방하여 개인 정보와 로그인 자격 증명을 입력하라는 지시를 받은 가짜 방문 페이지를 방문하도록 유도하는 것입니다. 그런 다음 이러한 세부 정보를 도난당하고 범죄자가 실제 계정에 액세스하는 데 사용합니다.
이러한 방문 페이지는 추적이 거의 불가능하게 만드는 일회성 또는 매우 단기적인 URL을 사용합니다.
다시 말하지만, 가장 성공적인 스미싱 공격에는 알려진 데이터를 사용하여 더 믿을 수 있게 만드는 조정된 사회 공학 전술이 포함됩니다. 수집된 정보는 종종 저장되어 차후 공격에 사용됩니다. 충분한 시간이 지난 후에도 피해자는 사기를 당하고 있다는 사실을 깨닫지 못할 것입니다.
사기꾼이 내 휴대폰 번호를 어떻게 알아냈나요?
스미싱 공격의 피해자는 자신의 숫자가 어떻게 범죄자의 손에 들어갔는지 물어볼 수 있습니다. 불행히도 우리는 일상 생활에서 모든 종류의 조직에 휴대폰 번호를 제공하기 때문에 이러한 일이 발생할 수 있습니다.
● 데이터 침해 : 해커가 조직의 고객 데이터베이스에 액세스할 때 그들이 훔치는 정보에는 로그인 및 비밀번호 세부 정보에서 주소, 물론 휴대폰 번호에 이르기까지 모든 것이 포함될 수 있습니다. 이 사람들은 정보를 스스로 사용하지 않고 특정 유형의 사기를 전문으로 하는 다른 범죄자에게 판매할 수 있습니다. 따라서 데이터 유출로 피해를 입은 특정 은행이나 항공사의 고객은 자신의 번호가 스미싱 전문가에게 전달되면 몇 달 또는 몇 년 후에 사기성 메시지를 받기 시작할 수 있습니다.
● 구매 목록 : 휴대폰 번호가 잘못된 손에 들어가면 목록에 추가될 수 있으며 이 목록은 사기꾼이 다크 웹에서 사고 팔 수 있습니다.
● 웹사이트 스크래핑 : 당신은 모를 수도 있지만, 당신의 전화번호는 인터넷상의 여러 합법적인 장소에 나열될 수 있습니다. 이전 소셜 미디어 프로필, 귀하가 한때 속해 있던 조직 또는 클럽의 웹사이트 또는 제3자 비즈니스 디렉토리에 있는 모든 것. 사기꾼은 인터넷을 지속적으로 스캔하여 전화번호처럼 보이는 번호 조합을 찾아 판매 목록에 추가하는 소프트웨어를 사용할 것입니다.
● 브라우저에 저장된 양식 데이터 : 브라우저 설정에 따라 웹 양식을 작성할 때 입력한 정보가 메모리에 저장되어 다음에 유사한 양식을 작성할 때 브라우저가 귀하의 세부 정보를 '기억'할 수 있습니다. 이 데이터가 브라우저에 의해 잠겨 있지 않으면 멀웨어(악성코드)가 찾아 추출하여 외부 제3자에게 전송할 수 있습니다.
● 임의의 숫자 생성기 : 이것에 대해 할 수 있는 일은 많지 않습니다. 휴대 전화 번호는 대부분의 국가에서 일관된 길이와 형식을 가지고 있으므로 소프트웨어에서 자동 다이얼러로 확인할 수 있는 잠재적인 전화 번호의 방대한 목록을 생성하는 것은 어렵지 않습니다. 한 번만 울리는 임의의 전화를 받은 적이 있습니까? 전화번호가 있는지 확인하는 다이얼러일 수 있습니다.
스미싱의 예는 무엇입니까?
이제 스미싱이 무엇인지 알았으니 스미싱 텍스트는 어떻게 생겼습니까? 많은 종류의 메시지가 있지만 공통점은 수신자가 행동을 취하도록 강력하게 촉구한다는 것 입니다. 일반적으로 그들은 당신에게 매력적인 것을 제안하거나 재정적으로 비용이 많이 들거나 빨리 행동하지 않으면 당혹감을 유발할 수 있는 나쁜 것에 대해 경고합니다. 긴박감은 피해자들이 깊이 생각하지 않고 신속하게 행동하도록 부추깁니다.
다음은 잘 알려진 6가지 예입니다. 비록 목록이 완전하지는 않지만. 사기꾼은 적응에 매우 능숙하고 우크라이나 전쟁이나 암호화폐 충돌과 같은 현재 사건을 악의적으로 사용하여 사기에 합법성을 추가합니다.
(당신이 참여하지 않은) 경쟁에서 이겼습니다!
스펙트럼의 덜 정교하고 덜 그럴듯한 끝에서 시작하여 우리는 모두 은행 잔고에 예상치 못한 증가를 약속하는 메시지를 받았습니다. 복권 당첨부터 알려지지 않은 친척 또는 나이지리아 왕족의 상속에 이르기까지 다양합니다. 월급날의 보상 하나면 방심하고 링크를 누르거나 개인정보를 제공하기에 충분한 것 같습니다.
배송 알림
이 접근 방식은 더 많은 사람들이 온라인 쇼핑을 하고 있고 소매업체들이 새로운 SMS 알림 사용 사례를 서둘러 출시함에 따라 지난 2년 동안 그 중요성이 커졌습니다. 사기꾼은 이 기회를 재빨리 악용하여 '배송 문제'를 표시하는 소매업체 및 배송 회사의 매우 현실적인 메시지를 작성합니다. 그들은 수취인에게 추가 배송료를 지불하도록 요청하거나 문제에 대한 추가 정보를 얻기 위해 로그인 자격 증명을 입력할 수 있습니다.
은행 사기 메시지
아이러니하게도 가장 성공적인 스미싱 전술 중 하나는 사기꾼이 고객 계정에서 비정상적인 활동을 표시하는 은행의 메시지를 모방하는 것입니다. 이러한 메시지는 일관된 형식을 따르므로 복사하기 쉽고 은행 수가 제한되어 있으므로 받는 사람이 자신의 은행을 보낸 사람으로 인식할 가능성이 높습니다.
메시지는 더 이상의 사기 행위를 방지하기 위해 비밀번호를 변경하도록 권장할 수 있습니다. 메시지의 링크를 클릭하면 사용자가 암호를 변경하기 위해 로그인 자격 증명을 요청하는 가짜 로그인 페이지 로 이동합니다.
이러한 세부 정보를 통해 범죄자는 피해자가 알아차리기 전에 스스로 로그인하고 계정에서 돈을 이체할 수 있는 기회를 갖게 됩니다. 은행은 이 전술에 현명해지고 있으며 새 장치에서 계정에 액세스하거나 요청한 금액이 특정 임계값을 초과할 때 2FA 수표를 통합하고 있습니다.
서로의 친구/동료
이 접근 방식은 아주 기본적인 사회 공학 전술을 사용하여 스미싱 공격의 효율성을 기하급수적으로 향상시킵니다. 메시지에 우리가 알고 신뢰하는 사람의 이름과 세부 정보가 포함되어 있으면 그것이 적법하다고 믿을 가능성이 훨씬 높아집니다.
사기꾼이 해야 할 일은 피해자의 소셜 미디어 계정을 긁어내어 가까운 친구나 비즈니스 지인이 누구인지 알아낸 다음 아마도 그들에게 일자리를 제공하거나, 놓칠 수 없는 사업 기회를 제공하거나, 가까운 거리에서 열리는 행사에 초대함으로써 이 정보를 사용하는 것입니다
소셜 미디어 알림
사람들은 인터넷에 자신에 대한 부적절한 사진이 있을 가능성에 직면했을 때 관점을 잃는 것 같습니다. 매우 성공적인 전술은 소셜 미디어 사마리아인이 자신이 좋아하지 않는 것에 대해 경고하는 SMS 메시지입니다.
" 무함마드가 Facebook에서 당신을 태그한 사진을 믿을 수 없을 것입니다! 이것 좀 봐…. "
선의의 기부
이 냉담한 전술은 사람들의 선의를 노립니다. 뉴스에서 천재지변, 전쟁 또는 난민 위기와 같은 눈에 띄는 사건이 있을 때 사기꾼은 이를 사용하여 사람들에게 돈을 기부하거나 사기에 사용할 수 있는 개인 정보를 제공하도록 설득합니다.
통신 공급자가 스미싱을 방지할 수 있는 방법
스미싱 공격이 정교해지고 모바일 가입자가 이를 인지하기가 더욱 어려워짐에 따라 고객에게 도달하기 전에 이를 차단하는 것이 통신 사업자의 책임이 되고 있습니다. 적극적으로 접근하는 것이 그들 자신의 이익입니다. 성공적인 공격은 A2P 메시징 에 대한 신뢰를 약화시켜 고객과 구매 대상 브랜드를 SMS에서 멀어지게 하여 수익 기회를 감소시킵니다.
운 좋게도 이동 통신 사업자는 싸움에서 동맹국이 있습니다. 수상 경력에 빛나는 공급업체와 파트너 관계를 맺음으로써 SMS 방화벽 기술과 전문 지식에 모두 액세스하여 모바일 생태계를 보호할 수 있습니다. 당사는 이미 전 세계 120개 이상의 통신사와 협력 하고 있으며 다음을 포함하는 풍부한 도구 세트를 사용하여 11억 명이 넘는 모바일 사용자를 보호하고 있습니다.
● 실시간으로 자동 차단될 수 있는 지속적으로 업데이트되는 악성 URL 데이터베이스에 대한 링크
● 머신 러닝을 사용하여 공격을 선점하는 사전 예방적 위협 탐지
● 식별된 위협에 대한 자동 대응
● MSISDN 평판 분석을 제공할 수 있는 SIM 상자 탐지 기반 "실제 고객"이 아닌 MSISDN 탐지
제공하는 기능만큼이나 중요한 당사의 SMS 방화벽은 인텔리전스 및 보안 전문가로 구성된 글로벌 팀의 지원을 받습니다 . 끊임없이 진화하는 이러한 공간에서 새로운 유형의 위협을 감지하고 이를 방지하는 데 도움이 되도록 하는 것이 이 사람들의 임무입니다.
가입자에게 가능한 최고의 보안을 제공하는 통신 제공업체의 증가하는 목록에 가입하십시오.
더 자세한 문의는 하기 정보로 연락 주세요!
☎ 010-3278-0565
✉️ kyungshiksung@infobip.com
'Blog' 카테고리의 다른 글
| [Infobip 인포빕] eSIM vs 표준 SIM: 어느 것이 더 낫습니까? (0) | 2022.10.14 |
|---|---|
| [Infobip 인포빕] Kibon: Infobip의 고객 참여 솔루션으로 캠페인 ROI 및 전환율 향상 (0) | 2022.10.14 |
| [Infobip 인포빕] 제품 업데이트: 더 나은 통찰력, 자동화 및 생산성 (0) | 2022.10.14 |
| [Infobip 인포빕] 효과적인 대화형 마케팅 가이드 (0) | 2022.10.14 |
| [Infobip 인포빕] 모든 메시지를 중요하게 생각하세요 (0) | 2022.10.14 |