홈페이지 » 어떻게 » 스피어 피싱 (Phear Phishing)은 무엇이며, 대기업을 어떻게 퇴치합니까?

    스피어 피싱 (Phear Phishing)은 무엇이며, 대기업을 어떻게 퇴치합니까?

    이 소식은 정부, 대기업 및 정치 활동가들에 대해 사용되는 "스피어 피싱 공격"에 대한 보고서로 가득합니다. 스피어 피싱 공격은 기업 네트워크가 손상되는 가장 일반적인 방법입니다..

    스피어 피싱은 더 새롭고 위험한 피싱 형태입니다. 스피어 피셔 (Spear-Phisher)는 무엇이든 잡기를 원하는 폭 넓은 그물을 주조하는 대신에 조심스럽게 공격하여 개인이나 특정 부서를 목표로 삼습니다.

    피싱 설명

    피싱은 신뢰할 수있는 사람을 사칭하여 정보를 얻고 습득하는 행위입니다. 예를 들어, 피싱 공격자는 Bank of America에서 스팸 메일을 발송하여 링크를 클릭하고 가짜 Bank of America 웹 사이트 (피싱 사이트)를 방문하고 은행 정보를 입력하도록 요청할 수 있습니다.

    피싱은 이메일에만 국한되는 것이 아닙니다. 피싱 사가 Skype에서 "Skype Support"와 같은 채팅 이름을 등록하고 Skype 메시지를 통해 귀하의 계정이 유출되었으며 귀하의 신원을 확인하기 위해 귀하의 비밀번호 또는 신용 카드 번호가 필요하다고 귀하에게 연락 할 수 있습니다. 이것은 또한 사기꾼이 게임 관리자를 가장하고 계정을 도용하는 데 사용할 암호를 묻는 메시지를 보내는 온라인 게임에서도 사용되었습니다. 피싱은 전화로도 발생할 수 있습니다. 과거에는 Microsoft에서 보낸 것으로 주장하는 전화를 받았을 수 있으며 제거하기 위해 지불해야하는 바이러스가 있다고 말했을 수 있습니다.

    피셔들은 일반적으로 매우 넓은 네트를 던졌습니다. Bank of America 피싱 이메일은 Bank of America 계정이없는 수백만 명의 사람들에게 보내질 수 있습니다. 이 때문에 피싱 (Phishing)은 종종 쉽게 찾아 낼 수 있습니다. 뱅크 오브 아메리카 (Bank of America)와 관계가 없다고 주장하는 이메일을 받았다면 이메일이 사기라는 사실이 분명해야합니다. 피싱 사기꾼은 충분한 사람과 접촉하면 누군가가 결국 사기에 빠질 것이라는 사실에 달려 있습니다. 이것은 우리가 여전히 스팸 메일을 가지고있는 것과 같은 이유입니다. 누군가가 거기에 빠져 있어야합니다. 그렇지 않으면 이익을 내지 못할 것입니다..

    자세한 내용은 피싱 전자 메일의 해부학을 확인하십시오..

    스피어 피싱의 차이점

    전통적인 피싱이 무언가를 잡으려는 의도로 폭 넓은 그물을 던지는 행위 인 경우, 스피어 피싱은 특정 개인이나 조직을 신중하게 타겟팅하고 공격을 개인적으로 조정하는 행위입니다.

    대부분의 피싱 전자 메일은 그다지 구체적이지 않지만 스피어 피싱 공격은 사기를 현실화하는 데 개인 정보를 사용합니다. 예를 들어, "친애하는 선생님, 멋진 재물과 부유함을위한이 링크를 클릭하십시오."라고 이메일에 "안녕 밥, 우리가 화요일 회의에서 작성한이 사업 계획을 읽어 보시고 우리가 생각한 것을 알려주십시오"라고 말할 것입니다. 이메일 알지 못하는 사람이 아니라 알고있는 사람 (위장한 이메일 주소 일 가능성이 있지만, 피싱 공격으로 침입 한 후 실제 이메일 주소로 표시 될 수 있음)에서 온 것처럼 보일 수 있습니다. 요청은보다 신중하게 작성되었으며 합법적 일 수 있습니다. 이메일은 아는 사람, 구매 한 사람 또는 다른 개인 정보를 참조 할 수 있습니다..

    고 가치 타겟에 대한 스피어 피싱 공격은 최대 피해를위한 제로 데이 공격과 결합 될 수 있습니다. 예를 들어, 사기꾼은 "안녕 밥,이 사업 보고서를 살펴 보시겠습니까? Jane은 합법적 인 모양의 이메일 주소로 의견을 보내 주겠다고 말했습니다. 이 링크는 Java 또는 Flash 컨텐츠가 내장 된 웹 페이지로 이동하여 제로 데이를 이용하여 컴퓨터를 손상시킬 수 있습니다. (Java는 특히 위험한데, 대부분의 사람들은 오래되고 취약한 Java 플러그인을 설치했기 때문에 위험합니다.) 컴퓨터가 손상되면 공격자는 회사 네트워크에 액세스하거나 전자 메일 주소를 사용하여 다른 사람에 대한 대상 스피어 피싱 공격을 시작할 수 있습니다. 조직.

    사기꾼은 위험한 파일처럼 보이도록 위장한 위험한 파일을 첨부 할 수도 있습니다. 예를 들어 스피어 피싱 이메일에는 사실 첨부 된 .exe 파일 인 PDF 파일이있을 수 있습니다..

    누가 정말로 걱정해야하는지

    스피어 피싱 공격은 대기업과 정부에 대해 내부 네트워크에 액세스하는 데 사용됩니다. 성공적인 스피어 피싱 공격으로 인해 손상된 모든 회사 나 정부에 대해서는 알지 못합니다. 조직은 종종 침입자가 공격 한 정확한 유형의 공격을 공개하지 않습니다. 그들은 해킹 당했다는 것을 인정하기조차하지 않습니다..

    빠른 검색을 통해 백악관, 페이스 북, 애플, 미국 국방부, 뉴욕 타임즈, 월스트리트 저널 및 트위터를 포함한 조직이 창 피싱 공격에 의해 손상되었을 가능성이 있음을 알 수 있습니다. 이는 우리가 알고있는 조직 중 일부에 지나지 않습니다. 문제의 범위가 훨씬 커질 수 있습니다..

    공격자가 실제로 고 가치 목표를 타협하기를 원한다면 암시장에서 구입 한 새로운 제로 데이 공격과 결합 된 스피어 피싱 공격이 종종 그렇게 효과적인 방법입니다. 높은 가치의 목표를 위반했을 때 스피어 피싱 공격이 종종 언급됩니다.

    스피어 피싱으로부터 자신을 보호하기

    개인으로서 정부 나 대기업보다 정교한 공격의 대상이 될 가능성이 적습니다. 그러나 공격자는 피싱 이메일에 개인 정보를 통합하여 사용자에 대해 스피어 피싱 전술을 사용할 수 있습니다. 피싱 공격이 더욱 정교 해지고 있음을 인식하는 것이 중요합니다..

    피싱에 관해서는 경계해야합니다. 전자 메일의 링크를 클릭하면 손상되지 않도록보다 안전하게 보호 할 수 있도록 소프트웨어를 최신 상태로 유지하십시오. 전자 메일에 첨부 된 파일을 열 때주의하십시오. 개인 정보에 대한 비정상적인 요청, 심지어 합법적 인 것처럼 보이는 것조차도 조심하십시오. 다른 웹 사이트에서 암호를 다시 사용하지 마십시오. 암호가 없어지는 경우를 대비하여.

    피싱 공격은 합법적 인 기업이 결코하지 않을 일을 시도합니다. 은행에서 이메일을 보내거나 비밀번호를 요청하지 않습니다. 상품을 구매 한 업체가 이메일을 보내지 않고 신용 카드 번호를 요청하지 않으며 정당한 조직으로부터 비밀번호를 묻는 인스턴트 메시지를받지 못합니다 또는 기타 민감한 정보. 피싱 이메일 및 피싱 사이트의 설득력에 관계없이 이메일의 링크를 클릭하거나 중요한 개인 정보를 제공하지 마십시오..


    모든 형태의 피싱과 마찬가지로 스피어 피싱은 방어하기가 어려운 사회 공학 공격의 한 형태입니다. 한 사람이 실수를하면 공격자가 네트워크에 발을 들여 놓을 수 있습니다..

    이미지 크레디트 : Flickr의 플로리다 물고기 및 야생 동물