모바일 피싱의 증가 추세와 예방 방법

모바일 피싱 공격 기법 및 예방 방법“ 

팬데믹은 우리의 소통 방식을 혁신적으로 바꿔놓았습니다. 직장 동료나 직원들과 이야기하기 위해 소파에서 일어나야 했던 시대는 이제 끝났습니다. 이제는 휴대폰만 있으면 줌(Zoom)을 이용하고, 이메일을 보내고, 회의 일정을 잡을 수 있습니다. 하지만 이러한 편리함에는 대가가 따릅니다.

전 세계에 150억 대 이상의 휴대전화가 보급된 상황에서 악의적인 공격자들이 모바일 기기를 이용해 데이터와 개인 정보를 탈취하는 것은 놀라운 일이 아닙니다. 원격 근무와 BYOD(Bring Your Own Device) 문화는 해커들이 기업 직원들을 표적으로 삼기 더욱 쉬운 길을 열어주었습니다. 가장 파괴적인 공격 유형 중 하나는 모바일 피싱 또는 "미싱"입니다.

피싱 공격은 1990년대 중반 이메일을 주요 공격 대상으로 삼으면서 시작되었습니다. 오늘날 피싱 공격은 더욱 정교해졌으며 모바일 기기에서 더욱 빈번하게 발생하고 있습니다. 모바일 피싱 공격의 빈번한 발생은 보안 담당자들의 업무 부담을 가중시키고 있습니다. 보안 운영 센터(SOC) 팀 관리하려면 계속 읽어보세요. 모바일 피싱의 증가하는 위협과 대처 방법에 대해 자세히 알아보세요.

모바일 피싱이란 무엇인가요?

모바일 피싱은 스마트폰이나 태블릿과 같은 모바일 기기를 이용하여 악성 콘텐츠를 유포하는 피싱 공격의 한 유형입니다. 과거에는 피싱 공격이 주로 이메일과 웹페이지를 통해 이루어졌습니다. 그러나 인터넷이 점점 모바일 친화적으로 변하고 사람들이 이전보다 훨씬 더 많은 시간을 휴대폰에서 보내면서(예를 들어, 미국인들은 거의 매일 휴대폰을 사용합니다) 모바일 피싱이 대세가 되었습니다. 하루에 4.8시간을 스마트폰을 사용한다.사이버 범죄자들은 이제 사용자들을 희생양으로 삼을 수 있는 새로운 수법에 관심을 돌리고 있습니다.

모바일 피싱 공격은 일반적인 이메일 피싱을 넘어 다양한 형태로 나타나기 때문에 탐지하기가 더 어렵습니다. 문자 메시지 기반 공격(스미싱), 악성 음성 통화(비싱), 앱 기반 피싱은 그 빈도와 심각성이 급증하고 있습니다. 이러한 공격은 모바일 기기에 특화되어 있으며, 사용자가 평소에 사용하는 정상적인 앱에 대한 신뢰를 악용하기 때문에 방어하기가 더욱 어렵습니다.

• SMS/문자 메시지 - 피싱 문자는 흔히 은행 앱, 배송 업체 등을 사칭합니다. 심지어 당신의 CEO까지도.

• 음성 메시지 – 자동차 연장 보증 안내 그 이상입니다. 보이스피싱 공격은 국세청, 대출 기관 등을 사칭합니다.

• 페이스북 메신저 - 메시지에 포함된 의심스러운 링크를 조심하세요., 페이스북 친구들을 포함해서.

• WhatsApp – 공격은 피해자를 표적으로 삼을 수 있습니다. 앱 내에서 그리고 이메일을 통해.

모바일 피싱 공격에 사용되는 다양한 기법

모바일 피싱 전략은 모바일 기기 사용자를 속여 민감한 정보를 빼내는 기만적인 기법을 사용합니다. 가장 일반적인 방법은 다음과 같습니다.

1. URL 패딩: 사이버 범죄자들은 긴 URL 안에 도메인을 넣어 악성 사이트를 숨깁니다.
2. 짧은 URL: 공격자들은 대규모 공격에서 SMS 피싱(스미싱)을 위해 단축 링크를 사용합니다.
3. 화면 오버레이: 피싱 앱은 모바일 앱을 모방하여 사용자 인증 자격 증명을 훔치는데, 특히 모바일 뱅킹 및 결제 앱을 표적으로 삼습니다.
4. 모바일 인증: 피싱 사이트는 모바일 기기 유형을 확인하여 모바일 기기에 특화된 공격을 실행합니다.
5. SMS 스푸핑(OTA): 가짜 문자 메시지가 시스템 업데이트로 위장하여 사용자가 데이터 유출을 유발할 수 있는 링크를 클릭하도록 유도합니다.

이러한 수법은 모바일 기기의 취약점을 악용하여 사용자들이 전화 피싱 공격에 더욱 취약하게 만듭니다.

미싱 vs 피싱

모바일 피싱과 기존 피싱의 차이점은 전달 방식에 있습니다. 기존 피싱은 이메일을 통해 전송되는 반면, 모바일 피싱은 많은 사람들이 은행 업무, 쇼핑, 비즈니스 등에 휴대전화를 사용한다는 점을 악용합니다. 이러한 공격 범위 확장으로 문자 메시지, 전화 통화, 음성 메일, 앱, 소셜 미디어 플랫폼 등이 포함됩니다. 전달 방식이 주요 차이점이긴 하지만, 고려해야 할 다른 중요한 요소들도 있습니다.

휴대전화 피싱의 증가

• 74% 기업 작년에 스미싱 공격을 받았습니다.

• 2021년 조사 대상 기업 중 611,330개 기업이 소셜 미디어 피싱 공격을 경험했습니다.

• 51% 조직의 직원들이 개인 모바일 기기에서 회사 애플리케이션에 접속할 수 있도록 허용합니다.

• 모바일 기기를 대상으로 한 피싱 공격은 매년 851건씩 꾸준히 증가하고 있습니다.

• 42%의 조직이 모바일 기기와 웹 애플리케이션의 취약점으로 인해 보안 사고가 발생했다고 보고했습니다.

• 75%라는 피싱 사이트는 특히 모바일 기기를 표적으로 삼았습니다.

• 인터넷에는 악성코드 사이트보다 피싱 사이트가 거의 75배 더 많다고 합니다. 구글 세이프 브라우징.

• 아일랜드 은행은 80만 유로를 지불해야 했다 단 한 번의 스미싱 공격으로 300명의 은행 고객이 피해를 입었습니다.

• 2024년에는, 80% 피싱 사이트 이제는 특히 모바일 기기를 표적으로 삼고 있으며, 모바일 기기를 대상으로 한 공격이 크게 증가하고 있습니다.
• 기업을 대상으로 한 모바일 피싱 공격이 성공했을 때 평균적인 비용은 다음과 같습니다. 현재 $450만.
  

모바일 피싱 방지 체크리스트

모바일 피싱 사기는 24시간 내내 발생하므로 항상 방어 태세를 갖춰야 합니다. 피싱 방어 및 대응을 위해 고려해야 할 몇 가지 사항은 다음과 같습니다.

1. 직원 교육: 예방이 최선의 방어입니다. 정기적인 직원 보안 교육에 모바일 피싱 안전 교육을 포함시키십시오. 흔히 나타나는 위험 신호와 실제 사례를 강조하여 직원들이 무엇을 주의해야 하는지 알 수 있도록 하십시오. 조직 내에 보안 우선 문화를 구축하면 피싱 공격 성공률을 줄일 수 있습니다.

2. 증거를 수집하세요직원들에게 악성 문자 메시지, 문자, 이메일을 수신한 경우 해당 모바일 기기의 스크린샷을 찍어 보내도록 권장하고 발신자를 차단하도록 상기시키십시오. 직원이 피싱 공격의 피해자가 된 경우, 공격이 성공했을 때 어떤 모습이었는지 파악하는 것이 매우 중요합니다.

3. 데이터 분석: 충분한 데이터가 수집되면 보안팀은 공격 추세를 신속하게 파악할 수 있습니다. 예를 들어, CEO를 사칭하는 스미싱 공격이 증가하는 것을 발견했다면, 이는 회사 전체에 보안 경고를 발송할 수 있는 좋은 기회입니다.

4. 가지세요 사고 대응 계획: 직원이 악성 링크를 클릭했거나 개인 정보를 공유했습니까? 그렇다면 즉시 침해사고 대응 절차를 가동해야 합니다. 기기 격리부터 내부 시스템 검색, 다른 피해 사용자 로그 검토에 이르기까지, 팀원들이 따라야 할 모든 단계를 문서화해 두세요.

5. BYOD(개인 장비 반입 허용) 정책을 수립하세요: 만들기 개인 기기를 지참하세요 사무실 근무, 하이브리드 근무, 원격 근무 등 근무 형태와 관계없이 정책 수립은 필수적입니다. 정책에는 다음과 같은 매개변수를 포함해야 합니다. 직원 퇴사, 기기 분실, 도난 및 기기 업데이트.

최신 도구를 활용하여 피싱 공격을 조기에 발견하세요: 
보안 자동화

모바일 피싱 공격은 빈도와 수법 면에서 계속해서 증가할 것입니다. 원격 근무와 모바일 기기 사용 증가로 이러한 공격은 더욱 심화될 전망입니다. 보안팀이 매일 수천 건의 경고를 받는 상황에서, 기업 리더들은 피싱 위협에 앞서 대응할 수 있는 방안을 모색하고 있습니다.

보안 자동화 플랫폼은 증가하는 모바일 피싱 공격에 대응할 수 있는 솔루션을 제공합니다. 자동화의 이점은 다음과 같습니다.

• 자동 조사 및 격리 기능으로 SOC 분석가의 시간을 절약하세요.

• 대시보드에서 피싱 시도 현황을 파악하세요.

• 완전히 자동화된 워크플로로 오탐을 차단하세요.

• 실시간 사례 협업으로 효율성을 높이세요

• 평균 문제 해결 시간(MTTR) 단축과 같은 보안 지표를 개선합니다.

자동화 기능을 추가하는 목적은 SOC 팀이 더 많은 위협을 더 빠르게 차단할 수 있도록 지원하는 것입니다. 이러한 플랫폼은 SOC 분석가의 시간을 잡아먹는 반복적이고 지루한 작업을 자동화합니다.

보안 자동화 시스템을 SOC에 도입하든 수동 침해사고 대응 프로세스를 구축하든, 모바일 피싱은 반드시 고려해야 할 위협 요소입니다. 직원 교육을 실시하고, 공격 표면을 보호하며, 철저한 침해사고 대응 프로세스를 마련하십시오.

모바일 피싱 관련 자주 묻는 질문(FAQ)

모바일 피싱 번호를 어떻게 찾아낼 수 있을까요?

온라인 전화번호 역추적 서비스나 스팸 또는 피싱 전화를 식별하고 신고하도록 설계된 모바일 앱을 사용하여 모바일 피싱 번호를 검색할 수 있습니다. 이러한 서비스를 통해 해당 번호가 의심스럽거나 사기성 활동으로 신고되었는지 확인할 수 있습니다.

아이폰으로 피싱 공격이 가능할까요?

피싱 공격은 아이폰을 표적으로 삼을 수 있습니다. 피싱 공격은 사용자가 어떤 기기를 사용하든 관계없이 소셜 엔지니어링 기법을 이용하여 사용자를 속입니다. 아이폰 사용자도 피싱 이메일, 문자 메시지를 수신하거나 피싱 웹사이트에 접속할 수 있습니다. 따라서 온라인 보안을 위해 주의를 기울이고 모범 사례를 따르는 것이 중요합니다.

피싱 공격으로 휴대전화가 해킹될 수 있나요?

피싱 공격은 휴대전화 보안을 위협할 수 있습니다. 피싱 공격은 사용자를 속여 개인 정보를 유출하거나 악성 소프트웨어를 다운로드하도록 유도하는 것을 목표로 합니다. 이러한 공격이 성공하면 데이터 도난, 무단 접근 또는 기기 제어 권한 획득으로 이어질 수 있습니다.

사이버 보안에서 미싱이란 무엇인가요? 

미싱(모바일 피싱)은 사기꾼들이 SMS 또는 메시징 앱을 이용하여 사용자를 속여 민감한 정보를 유출하거나, 악성 링크를 클릭하거나, 멀웨어를 다운로드하도록 유도하는 사이버 공격입니다.

모바일 기기에서 발생할 수 있는 다른 유형의 피싱 공격에는 어떤 것들이 있을까요?

오류 외에도 모바일 사용자는 다음과 같은 문제에 직면할 수 있습니다.

• 스미싱 – 문자 메시지 기반 피싱
• 퀴싱 – QR 코드 기반 피싱
• 피싱 - 음성 통화 피싱
• 앱 기반 피싱 - 데이터를 훔치는 악성 앱

모바일 피싱 보안은 컴퓨터 및 노트북과 어떻게 다른가요?

모바일 피싱은 SMS, 메시징 앱, QR 코드를 악용하기 때문에 기존 이메일 피싱보다 탐지하기 어렵습니다. 또한 모바일 기기는 화면이 작고 보안 도구가 제한적이어서 악성 링크를 실수로 클릭할 위험이 더 높습니다.