신뢰가 화폐이자 취약점이 되는 온라인 세계가 점점 늘어나면서 위협 행위자는 인간의 행동을 조작하고 도움을 주고 싶어하는 사람들의 성향을 이용하려고 합니다. 이 인포그래픽에서는 위협 행위자가 목표를 달성하기 위해 인간 본성을 조작하는 몇 가지 방법을 안내하면서 위협 행위자가 다른 무엇보다 직업적 정체성을 중요시하는 이유를 포함한 소셜 엔지니어링을 살펴보겠습니다.
신뢰 경제를 이용한 소셜 엔지니어링 사기
소셜 엔지니어링 및 피싱의 범죄적 매력
피싱 공격의 901%에는 주로 전자 메일을 통해 피해자를 조작하여 중요한 정보를 노출하거나 악성 링크를 클릭하거나 악성 파일을 열도록 고안된 소셜 엔지니어링 전략이 포함됩니다. 피싱 공격은 공격자에게 비용 효율적이며, 적응력이 뛰어나 예방 조치를 회피할 수 있고, 높은 성공률을 뽐냅니다.
인간 행동의 지렛대
소셜 엔지니어링 기술은 공격자가 자신감과 설득력을 사용하여 목표 대상이 성격에 맞지 않는 조치를 취하도록 설득하는 경향이 있습니다. 세 가지 효과적인 지렛대는 긴박감, 감정, 습관입니다.2 긴박감 시간에 민감한 기회를 놓치거나 중요한 마감일을 지키지 않으려는 사람은 아무도 없습니다. 긴박감은 이성적인 대상을 속여서 개인 정보를 넘겨주게 만듭니다.
예: 거짓 긴박감
“피싱 전자 메일의 특징은 특정 형식의 시간 프레임을 첨부한다는 것입니다. 사용자가 짧은 시간 안에 결정을 내리도록 강요하고 싶어합니다.”
Jack Mott – Microsoft 위협 인텔리전스
감정
감정 조작은 사이버 공격자에게 우위를 제공할 수 있습니다. 인간은 특히 두려움, 죄책감 또는 분노가 관련된 경우 감정이 고조된 상태에서 위험한 행동을 취할 가능성이 더 높기 때문입니다.
예: 감정 조작
“제가 본 것 중 가장 효과적인 미끼는 배우자와의 이혼 서류를 준비하기로 계약되었다는 매우 짧은 메일이었습니다. 링크를 클릭하면 사본을 다운로드할 수 있습니다.”
Sherrod DeGrippo – Microsoft 위협 인텔리전스
습관
범죄자는 행동을 예리하게 관찰하며, 사람들이 별다른 생각 없이 "자동 조종 모드"로 수행하는 습관과 일상에 특별한 주의를 기울입니다.
예: 일반적인 습관
“위협 행위자는 비즈니스의 리듬에 적응합니다. 일반적으로 받아들이는 맥락에서 의미 있는 미끼를 배포하는 데 아주 능숙합니다.”
Jack Mott – Microsoft 위협 인텔리전스
직원의 개인적인 가상 사용자와 직업적 가상 사용자 사이의 경계가 때때로 수렴될 수 있습니다. 직원은 업무에 사용하는 업무용 전자 메일을 개인 계정으로 사용할 수 있습니다. 위협 행위자는 직원의 기업 정보에 접근하기 위해 이러한 프로그램 중 하나인 것처럼 가장하여 접근하는 방식으로 이를 이용하기도 합니다.
“전자 메일 피싱 사기에서 사이버 범죄자는 회사 전자 메일 주소에 대한 “미끼”를 확인합니다. 개인 웹 메일 주소는 시간을 들일 가치가 없습니다. 직장 주소의 가치가 더 높기 때문에 이러한 계정에 대한 공격을 사용자 지정하기 위해 더 많은 리소스를 투입하여 hands-on-keyboard에 집중할 것입니다.”
Jack Mott – Microsoft 위협 인텔리전스
“장기 사기”
소셜 엔지니어링 공격은 일반적으로 빠르지 않습니다. 소셜 엔지니어들은 연구에서 시작되는 노동 집약적인 기술을 사용하여 시간이 지남에 따라 피해자들과 신뢰를 쌓는 경향이 있습니다. 이러한 유형의 조작 주기는 다음과 같습니다.
- 조사: 엔지니어는 대상을 식별하고 잠재적인 진입 지점이나 보안 프로토콜과 같은 배경 정보를 수집합니다.
- 침투: 엔지니어는 대상과의 신뢰를 구축하는 데 중점을 둡니다. 이야기를 전개하고, 목표 대상을 정하고, 상호 작용을 통제하여 엔지니어에게 이익이 되는 방향으로 조정합니다.
- 악용: 소셜 엔지니어는 시간이 지남에 따라 대상의 정보를 얻습니다. 일반적으로 대상은 이러한 정보를 기꺼이 넘겨주고 엔지니어는 이 정보를 활용하여 훨씬 더 많은 기밀 정보에 액세스할 수 있습니다.
- 해제: 소셜 엔지니어는 상호 작용을 자연스럽게 끝내게 됩니다. 숙련된 엔지니어는 대상이 전혀 의심하지 않도록 이 작업을 수행합니다.
BEC의 주요 대상은 사회 보장 번호, 세금 명세서 또는 기타 개인 식별 정보와 같은 직원 기록에 액세스할 수 있는 임원 및 기타 고위 리더, 재무 관리자, 인사 담당자입니다. 익숙하지 않은 전자 메일 요청을 확인할 가능성이 적은 신입 직원도 대상이 됩니다.
거의 모든 형태의 BEC 공격이 증가하고 있습니다. 일반적인 BEC 공격 유형은 다음과 같습니다.5
- DEC(다이렉트 전자 메일 침해): 손상된 전자 메일 계정은 사내 또는 타사 회계 역할을 소셜 엔지니어링하여 공격자의 은행 계좌로 자금을 송금하거나 기존 계정의 결제 정보를 변경하는 데 사용됩니다.
- VEC(공급업체 전자 메일 침해): 결제 관련 전자 메일을 가로채고 회사 직원을 사칭하여 공급업체가 미납 금액을 불법 은행 계좌로 리디렉션하도록 설득함으로써 기존 공급업체 관계를 소셜 엔지니어링으로 공격합니다.
- 거짓 청구서 사기: 유명 비즈니스 브랜드를 이용하여 회사가 거짓 청구서를 지불하도록 설득하는 대규모 소셜 엔지니어링 사기입니다.
- 변호사 사칭: 특히 기업공개와 같은 중요한 행사 이전에 소규모 회사 및 스타트업의 경영진과의 신뢰를 높이기 위해 크고 유명한 법률 회사와의 신뢰 높은 관계를 이용하여 미결제 송장 지불을 완료합니다. 결제 조건에 대한 합의가 이루어지면 불법 은행 계좌로의 결제 리디렉션이 발생합니다.
Octo Tempest
Octo Tempest는 AiTM( Adversary-in-the-middle ) 기술, 소셜 엔지니어링, SIM 교환 기능을 특징으로 하는 광범위한 캠페인을 시작하는 것으로 알려진 재정적 동기를 지닌 영어권 원어민 위협 행위자들의 집단입니다.
Octo Tempest는 AiTM( Adversary-in-the-middle ) 기술, 소셜 엔지니어링, SIM 교환 기능을 특징으로 하는 광범위한 캠페인을 시작하는 것으로 알려진 재정적 동기를 지닌 영어권 원어민 위협 행위자들의 집단입니다.
Diamond Sleet
2023년 8월, Diamond Sleet 은 독일 소프트웨어 제공업체인 JetBrains의 소프트웨어 공급망 손상을 시도하여 소프트웨어 구축, 테스트, 배포 프로세스용 서버를 손상시켰습니다. Diamond Sleet은 과거에 빌드 환경에 성공적으로 침투한 적이 있기 때문에 Microsoft는 이 활동이 영향을 받는 조직에 특히 높은 위험을 초래한다고 평가합니다.
2023년 8월, Diamond Sleet 은 독일 소프트웨어 제공업체인 JetBrains의 소프트웨어 공급망 손상을 시도하여 소프트웨어 구축, 테스트, 배포 프로세스용 서버를 손상시켰습니다. Diamond Sleet은 과거에 빌드 환경에 성공적으로 침투한 적이 있기 때문에 Microsoft는 이 활동이 영향을 받는 조직에 특히 높은 위험을 초래한다고 평가합니다.
Sangria Tempest6
FIN으로도 알려진 Sangria Tempest는 외식업을 대상으로 삼아 결제 카드 데이터를 훔치는 것으로 알려져 있습니다. 가장 효과적인 미끼 중 하나는 식중독 혐의와 관련이 있으며, 그 세부 사항은 악의적인 첨부 파일을 열어 볼 수 있습니다.
FIN으로도 알려진 Sangria Tempest는 외식업을 대상으로 삼아 결제 카드 데이터를 훔치는 것으로 알려져 있습니다. 가장 효과적인 미끼 중 하나는 식중독 혐의와 관련이 있으며, 그 세부 사항은 악의적인 첨부 파일을 열어 볼 수 있습니다.
주로 동유럽인으로 구성된 Sangria Tempest는 지하 포럼을 사용하여 전자 메일 미끼를 전달하면서 매장에 전화하는 방법에 대한 교육을 받은 영어 원어민을 모집했습니다. 이 그룹은 이러한 과정을 통해 수천만 개의 결제 카드 데이터를 훔쳤습니다.
Midnight Blizzard
Midnight Blizzard는 주로 미국과 유럽의 정부, 외교 기관, NGO(비정부 기구), IT 서비스 제공업체를 대상으로 삼는 것으로 알려진 러시아 기반 위협 행위자입니다.
Midnight Blizzard는 주로 미국과 유럽의 정부, 외교 기관, NGO(비정부 기구), IT 서비스 제공업체를 대상으로 삼는 것으로 알려진 러시아 기반 위협 행위자입니다.
Midnight Blizzard는 Teams 메시지를 활용하여 사용자를 참여시키고 MFA(다단계 인증) 프롬프트의 승인을 유도하여 대상 조직에서 자격 증명을 훔치려는 미끼를 보냅니다.
유용한 정보
Microsoft의 위협 행위자 명명 전략은 날씨와 관련된 주제에서 영감을 얻은 위협 행위자를 위한 새로운 명명 분류법으로 전환되었습니다.
Microsoft의 위협 행위자 명명 전략은 날씨와 관련된 주제에서 영감을 얻은 위협 행위자를 위한 새로운 명명 분류법으로 전환되었습니다.
소셜 엔지니어링 공격이 정교하기는 하지만 이를 예방하기 위해 할 수 있는 일이 있습니다.7 개인 정보 보호와 보안에 대해 제대로 알고 있다면 공격자와의 게임에서 충분히 이길 수 있습니다.
먼저, 사용자에게 개인 계정을 개인용 업무로만 사용하고 업무 전자 메일이나 업무 관련 작업에 사용하지 않도록 지시합니다.
또한 MFA 사용을 강제해야 합니다. 소셜 엔지니어는 일반적으로 로그인 자격 증명과 같은 정보를 찾고 있습니다. MFA를 활성화하면 공격자가 사용자 이름과 암호를 알아내더라도 계정과 개인 정보에 접근할 수 없습니다.8
의심스러운 출처에서 온 전자 메일이나 첨부 파일을 열지 않아야 합니다. 친구가 긴급하게 클릭해야 하는 링크를 보낸 경우 메시지가 실제로 친구에게서 온 것인지 확인하세요. 클릭하기 전에 잠시 멈춰 보낸 사람이 누구인지 스스로에게 물어보세요.
잠시 멈춰 확인하기
믿기에 불안할 만큼 너무 좋은 제안을 조심하세요. 참여하지 않은 경품 행사에서는 당첨될 수 없으며, 그 어떤 외국 로열티도 사용자에게 큰 돈을 남겨 주지 않습니다. 너무 유혹적이라면 제안이 합법적인지 아니면 함정인지 빠른 검색을 통해 판단해야 합니다.
온라인에서 과도하게 공유하지 마세요. 소셜 엔지니어들은 계획한 사기가 성공하도록 목표 대상과의 신뢰를 쌓아야 합니다. 소셜 미디어 프로필에서 개인 정보를 찾을 수 있다면 이를 사용하여 사기 행위가 더욱 합법적인 것처럼 보이게 할 수 있습니다.
컴퓨터와 디바이스를 보호하세요. 바이러스 백신 소프트웨어, 방화벽, 전자 메일 필터를 사용하세요. 위협이 디바이스에 침투하는 경우 정보를 안전하게 보호하는 데 도움이 되는 보호 기능이 제공됩니다.
“의심스러운 전화나 전자 메일을 받으면 속도를 늦추고 확인하는 것이 중요합니다. 사람들은 너무 급하게 행동하면 실수를 하기 때문에 이러한 상황에 즉시 대응할 필요는 없다는 점을 직원들에게 상기시키는 것이 중요합니다.”
Jack Mott – Microsoft 위협 인텔리전스
다음 영상을 시청하여 조직을 보호하는 방법에 대해 자세히 알아보세요. 신뢰의 위험: 소셜 엔지니어링 위협 및 사이버 방어
- [2]
이 섹션의 콘텐츠 출처: https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
참고: 콘텐츠 출처: https://go.microsoft.com/fwlink/?linkid=2263229