피싱
우리 모두는 회사가 해킹을 당했고 문서 유출, 서비스 사용 불가능, 손상된 자격 증명 등과 같은 공격의 결과로 피해가 보고되었다는 소식을 자주 듣습니다. 그러나 많은 경우 모든 것이 피싱으로 시작됩니다. 이 공격으로 모든 것이 무엇인지 봅시다!
● 피싱이란 무엇입니까?
음, 피싱은 일종의 사이버 보안 공격입니다. 보다 정확하게는 사회 공학 공격입니다. 이메일, 전화 통화, SMS 등 다양한 방법이 있습니다. 요점은 공격자가 사용자를 속이고 자격 증명, 신용 카드 정보와 같은 항목을 얻거나 장치를 감염시키거나 데이터를 도용하는 소프트웨어를 설치 또는 실행하도록 하기 위해 누군가 또는 무언가를 가장하려고 시도한다는 것입니다.
이 기사에서는 피싱 이메일에 초점을 맞출 것입니다. 제 생각에는 이것이 이 공격에 직면하는 가장 일반적인 방법이기 때문입니다.
● 겉모습 그 이상 - 숨겨진 이메일 정보 보기
일반적으로 이메일을 받을 때 발신자(이름 및 이메일 주소), 제목, 날짜, 수신자의 이메일(일반적으로 귀하), 메시지 및 일부 첨부 파일과 같이 볼 수 있는 몇 가지 사항이 있습니다. (이 경우). 기본적으로 충분하다고 말할 수 있습니다.
하지만 보이는 것보다 더 많은 정보가 있다고 말하면 어떻게 반응하겠습니까? 이메일의 원시 버전을 확인하면 모든 세부 정보를 볼 수 있습니다. Yahoo 및 Gmail에 대해 이 작업을 수행하는 방법을 보여 주지만 단계는 다른 것과 유사해야 합니다.
Yahoo - 이메일을 연 후 "가로 점 3개" 버튼을 누른 다음 "원시 메시지 보기"를 클릭하십시오.
Gmail - 이메일을 연 후 "세로 점 3개 버튼"을 누른 다음 "원본 보기"를 클릭하십시오.
아래는 합법적인 것으로 알고 있는 Duolingo에서 받은 이메일의 원시 버전의 일부 스크린샷입니다.
● 헤더가 우리에게 도움이 되는 방식
우리가 확인할 수 있는 한 가지는 From 과 Reply-To 헤더 가 일치하는지 여부입니다 . 발신자의 이름과 이메일 주소 간의 불일치가 매우 크고 명백하기 때문에 때로는 이메일의 원시 버전을 볼 필요조차 없습니다. 그러나 이것이 한 눈에 보이지 않는 경우 이 2개의 헤더를 보면 알 수 있습니다.
이메일이 합법적이고 두 헤더의 주소가 다른 경우가 있을 수 있지만 이런 일이 발생하더라도 도메인은 동일합니다. 위 스크린샷에서 From 과 Reply-To가 일치하는 것을 볼 수 있습니다. 추가 단계로 Return-Path 헤더 를 확인할 수 있습니다 . 이 예에는 보낸 사람과 관련된 도메인이 있습니다.
X-Originating-IP 도 도움이 될 것입니다. 이 IP를 확인하면 수신된 이메일이 피싱과 관련이 있음을 확인할 수 있는 정보를 얻을 수 있습니다. IP를 확인할 수 있는 웹사이트 중 하나는 IPInfo 입니다. X-Relaying-Domain 도 비슷한 힌트를 줄 수 있습니다.
다양한 도구를 사용하여 수신된 이메일의 헤더를 분석할 수 있습니다. 여러 가지를 테스트했는데 가장 마음에 드는 것은 MailHeader 입니다. 그런 것들을 조사해야 하는 경우에 추천합니다.
● 피싱 관련 이메일 징후 드러내기
이메일이 합법적이지 않으며 실제로는 피싱임을 지적하는 몇 가지 요소가 있습니다. 다음 중 일부를 살펴보겠습니다.
▪ 잘못된 문법
피싱 이메일에서 잘못된 문법을 자주 발견할 수 있습니다. 또한 철자가 문제인 경우가 많습니다. 예를 들어 Netflix 계정이 만료되었다는 이메일을 받았습니다. 발신자가 Netflx 를 썼다는 것을 알게 되더라도 놀라지 마십시오 . 피싱을 노출시키는 또 다른 측면은 말이 되지 않는 문장입니다. 텍스트의 언어가 영어가 아닐 때 주로 관찰할 수 있다고 생각합니다. 이러한 오류는 잘못된 자동 번역에서 비롯된 것일 수 있습니다. 결국 오타를 잊지 말자.
▪ 긴급
대부분의 경우 피싱 이메일을 받으면 이 요소를 발견할 수 있습니다. 귀하의 "Apple" 계정이 차단되었습니까? 지금 이 링크에 액세스해야 합니다! 은행 계좌 정보를 업데이트해야 합니까? 그 순간에해야합니다! 복권에 당첨되셨나요? 지금 해당 링크를 클릭하여 소유권을 주장해야 합니다. 그렇지 않으면 소유권을 잃게 됩니다! 관련된 긴급함을 볼 때마다 의심을 시작해야 합니다.
▪ 일반 공식만 사용
귀하의 은행에서 귀하의 계정이 차단되었으며 잠금을 해제하려면 제공된 링크를 클릭해야 한다는 내용의 이메일을 보냈습니다(당연히 지금 수행해야 합니다 :) ). 그러나 메시지의 첫 번째 줄은 "친애하는 고객"? 음, 실제로 송금한 은행이 귀하의 은행이라면 이미 귀하의 성과 이름을 알고 있을 것입니다. 결국 시스템에 이러한 세부 정보가 있습니다.
▪ 귀하의 이메일 주소가 To가 아닌 BCC에 있습니다.
당신이 받은 이메일은 당신을 위한 것이어야 했습니다, 그렇죠? 급하게 계정 정보를 업데이트해야 하는 건 당신이잖아요? 왜 To 가 아닌 BCC 에 있습니까? 논리가 없으며 즉시 위험 신호로 간주되어야 합니다.
● 악의적인 '행위자'
피싱 이메일을 받으면 그 목적은 무언가를 다운로드하거나 일부 파일을 실행하거나 특정 링크를 클릭하는 등의 작업을 수행하도록 하는 것입니다. 몇 가지를 살펴보겠습니다.
▪ 첨부파일
많은 피싱 이메일은 첨부 파일과 함께 제공됩니다. 내부에 악성 실행 파일이 있는 아카이브일 수도 있고, PDF 파일을 받은 경우 불쾌한 웹 사이트로 리디렉션하는 링크가 포함되어 있거나 이메일의 파일이 위험한 매크로가 포함된 Excel일 수도 있습니다. 제가 개인적으로 접한 예로 PDF처럼 보이는 파일이 있었습니다. 그러나 보낸 사람은 주의를 기울이지 않으면 일부 사람들을 속일 수 있는 흥미로운 아이디어를 가지고 있었습니다. 분명히 합법적인 송장은 아니었지만 파일 이름은 다음과 같았습니다.
"Invoice_20210312172833.pdf .exe"
▪ 오해의 소지가 있는 도메인 이름
이 사이트에서 사람들이 플레이하는 인기 게임(아마도 귀하)에서 상품을 받는 것에 대해 알리는 Facebook 의 이메일 이 있습니다. 그것을 청구하려면 로그인하고 수집해야 합니다. 물론 로그인 링크가 제공됩니다. 액세스하여 Facebook 의 공식 로그인처럼 보이는 웹 페이지가 열렸다고 가정해 보겠습니다 . 아무 문제 없어요, 그렇죠? 하지만 자세히 살펴보면 facebook.com 이 아니라 faceb00k.com이라는 것을 알 수 있습니다 . 공격자는 이 트릭을 사용하여 로그인 페이지를 복제하고 약간 다른 도메인 이름을 사용하여 문자를 유사한 문자( m 은 n , o 는0 , i 와 l 등). 일반적으로 이러한 페이지는 무엇을 삽입하든 오류 메시지만 표시합니다. 공격자들이 할 수 있는 더 고약한 기동도 있다고 생각합니다. 우리의 경우 이메일과 비밀번호를 입력하고 로그인 버튼을 누르면 유효하지 않은 자격 증명이 포함된 오류 메시지가 표시될 수 있으며 때로는 아무 일도 일어나지 않습니다(아무것도 표시되지 않습니다 :) ). 그러나 공격자가 공식 로그인 페이지를 복제하면 로그인 코드를 변경할 수 있습니다 .이 방법으로 버튼을 누르십시오: 사용자에게 오류 메시지를 표시하고 그 직후 가짜 페이지를 공식 로그인 페이지로 빠르게 리디렉션하십시오. 다시 시도하면 이제 성공적으로 로그인되었습니다. 비밀번호의 철자를 잘못 입력했는데 아무 문제가 없다고 생각할 수 있습니다. 음, 그러한 상황에서 공격자는 이미 귀하의 자격 증명을 가지고 있으며 나쁜 부분은 귀하가 그것을 알지 못한다는 것입니다.
▪ 단축 URL
당신은 잘 알려진 슈퍼마켓에서 쇼핑할 수 있는 행운의 당첨자입니다. 글쎄, 적어도 그것이 이메일이 말하는 것입니다. 청구하려면 버튼을 누르기만 하면 됩니다. 해당 버튼에 마우스 커서를 올리면 페이지 왼쪽 하단에 bit.ly/d87hBB3m과 같은 링크가 표시됩니다. 이전에 유사한 동영상을 이미 클릭했을 수 있으며 보고 싶은 YouTube 동영상이 열렸으므로 걱정할 필요가 없습니다. 결국 링크는 http://hexorveetlol.xyz/steal-password 가 아니죠 ? 그것은 당신이 그것에 접근하기 전에 두 번 생각하게 만들 것입니다. 글쎄요, 불행하게도 그 짧은 링크 뒤에는 위의 것과 정확히 같은 것이 있을 수 있습니다. 공격자가 단축 링크를 사용하는 이유는 절대 클릭하지 않을 이상한 URL을 숨기기 위해서입니다.
▪ 매크로가 포함된 MS Word/Excel/Powerpoint 첨부파일
MS Office 패키지의 프로그램과 관련된 일부 파일에는 매크로가 포함될 수 있습니다. 이러한 첨부 파일이 포함된 이메일(특히 원치 않거나 예상치 못한)을 받으면 매우 신중해야 합니다. 비용 목록이 포함된 Excel 파일이 포함된 이메일을 직장에서 받았고 가격은 $로 표시됩니다. 첫 번째 줄에는 값을 현지 통화로 변환하기 위해 매크로를 활성화해야 한다는 메시지가 표시됩니다. 글쎄, 당신은 $가 아니라 그 값을 보고 싶습니까? 활성화하기 전에 두 번 생각할 것입니다.
아래 비디오에서 매크로에 대해 자세히 알아볼 수 있습니다. 이 비디오에서 제가 이에 대해 이야기하고 매크로와 관련된 피싱과 관련된 문제를 해결합니다. 보세요!
● 나를 지키고 싶은데 어떻게 해야 하나요?
▪ 논리를 사용하고 감정을 피하십시오
당신은 그 복권에 당첨되었고 당신은 매우 행복합니까? 잠깐만, 복권을 본 적이 있습니까? 아니? 그러면 그들은 어떻게 당신을 찾아 상을 주게 되었습니까?
그 슈퍼마켓에서 1000달러짜리 쇼핑 상품권을 받았습니까? 조금 생각해 봅시다, 당신은 그것에서 무언가를 구입한 적이 있습니까? 당신은 거기서 쇼핑을 한 적이 없습니까? 그렇다면 이메일 주소는 어떻게 가지고 있습니까?
Netflix 계정이 잠겼으며 잠금을 해제하려면 큰 버튼을 눌러야 합니다. 그렇지 않으면 비활성화됩니다. Netflix 계정이 있습니까? 당신은하지 않습니다? 그렇다면 왜 그런 이메일을 받게 될까요?
귀하의 "은행"에서 계좌 번호 업데이트를 요청합니까? 음, 그 계좌는 은행 자체에서 제공하는 것 아닌가요? 직원이 처리하는 것을 업데이트하도록 요청하는 이유는 무엇입니까?
▪ 공식 기관에 문의
위의 예를 사용하여 Netflix에서 해당 이메일을 받은 경우 해당 웹 사이트로 이동하여 연락처 섹션(이메일 주소, 전화 번호 또는 기타 수단)을 찾아 계정이 실제로 잠겨 있는지 문의하십시오. 또한 "은행"에서 보낸 이메일을 고려하여 동일한 작업을 수행하고 해당 팀에서 실제로 보냈는지 전화로 문의하십시오. 분석을 위해 메시지를 전달하도록 요청할 수도 있습니다. 이것은 당신뿐만 아니라 다른 사람들에게도 도움이 될 수 있습니다.
▪ 도메인 이름에 주의
캐릭터의 작은 차이로 인해 계정이 손상될 수 있으므로 액세스하는 웹 사이트를 잘 살펴보십시오.
▪ 단축 URL 확장
공격자는 이러한 유형의 기술을 사용하여 악성 링크를 숨기므로 반대의 작업을 수행하여 그들이 실제로 숨기려고 하는 것이 무엇인지 확인하지 않는 이유는 무엇입니까? 이를 수행하는 데 도움이 되는 많은 사이트가 있으며 그 중 하나는 ExpandURL 입니다.
▪ 첨부파일 확인
받은 메일에 첨부된 파일이 맞는지 확인하셔야 합니다. 이를 위해 다른 웹사이트를 사용할 수 있습니다. 악의적인 것으로 밝혀진 경우 특정 항목에 대한 보고서를 제공하는 페이지가 있습니다. 파일을 업로드하는 것부터 이것이 발견된 URL 또는 해당 해시 값을 제공하는 것까지 여러 가지 방법이 있습니다. 이러한 페이지의 예는 VirusTotal 입니다.
▪ MS Office 문서에 대해 매크로를 기본적으로 비활성화 상태로 유지
우리가 할 수 있는 또 다른 일은 매크로의 자동 실행을 차단하는 것입니다. 이러한 방식으로 문서나 엑셀 시트를 열 때 악성 명령이 직접 실행되지 않도록 합니다. 파일에 매크로가 포함되어 있지만 비활성화한 경우 적어도 그 안에 무엇이 있는지 살펴볼 수 있습니다.
지금은 여기까지입니다. 당신이 그것을 즐겼기를 바랍니다. 시간을 내어 이 글을 읽어주셔서 감사합니다. 다음 글을 기다리겠습니다!
![연결된 목록이란 무엇입니까? [1 부]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
