추천 기사

사이버범죄 기회주의가 심화되면서 COVID-19가 정점을 찍는 동안 피싱 공격이 220% 급증

F5 Labs 2020 피싱 및 사기 보고서의 저자인 데이비드 워버튼은 사기꾼들이 팬데믹에 어떻게 적응하고 있는지 설명하고 이 영상에서 향후 추세를 개략적으로 보여드립니다. 아래에는 요약 설명이 있습니다.
 

F5 Labs의 새로운 연구에 따르면, COVID-19는 사이버 범죄자들의 피싱 및 사기 활동을 계속해서 상당히 촉진하고 있습니다. 

피싱 및 사기 보고서 4판에 따르면, 글로벌 팬데믹이 절정에 달했을 때 피싱 사건은 연평균 대비 220% 증가한 것으로 나타났습니다.

F5 보안 운영 센터(SOC)의 데이터에 따르면, 2020년 피싱 사건 수는 현재 전년 대비 15% 증가할 것으로 예상되지만, 추가적인 팬데믹 확산에 따라 이는 곧 바뀔 수 있습니다.

COVID 관련 피싱 이메일의 세 가지 주요 목적은 가짜 자선 단체에 대한 사기성 기부, 신임장 수집, 맬웨어 전달로 확인되었습니다. 

피싱 도메인 

F5 연구소는 지난 몇 년간의 조사 결과에 따르면 사기꾼들이 피싱 사이트의 이름과 주소를 점점 더 창의적으로 사용하고 있다는 사실을 발견했습니다.  

2020년 현재까지 피싱 사이트의 52%가 웹사이트 주소에 타겟 브랜드 이름과 아이덴티티를 사용했습니다. F5 Labs는 Webroot의 피싱 사이트 데이터를 사용하여 2020년 하반기에 가장 많이 공격받은 브랜드가 Amazon이라는 사실을 발견했습니다. Paypal, Apple, WhatsApp, Microsoft Office, Netflix, Instagram도 가장 많이 모방된 브랜드 상위 10위에 들었습니다. 

F5 랩은 자격 증명 도난을 실제 공격에 사용된 사례까지 추적한 결과, 범죄자들이 피해자에게 피싱을 한 후 4시간 이내에 도난한 비밀번호를 사용하려고 시도한다는 사실을 발견했습니다. 일부 공격은 다중 요소 인증(MFA) 보안 코드를 캡처하기 위해 실시간으로 발생하기도 했습니다. 

평범한 곳에 숨어 있음 

2020년에는 피싱 사기범들이 사기 사이트를 가능한 한 진짜 사이트처럼 보이게 하기 위한 노력을 강화했습니다. F5 SOC 통계에 따르면 대부분 피싱 사이트가 암호화를 활용했으며, 그중 72%가 유효한 HTTPS 인증서를 사용하여 피해자를 속였습니다. 올해는 맬웨어가 보낸 도난 데이터의 목적지인 드롭 존의 100%가 TLS 암호화를 사용했습니다(2019년 89% 증가).

F5 Labs는 2019년과 2020년의 사건을 통합하여 드롭 존의 55.3%가 비표준 SSL/TLS 포트를 사용했다고 보고했습니다. 하나를 제외한 모든 인스턴스에서 포트 446이 사용되었습니다. 피싱 사이트 분석 결과 98.2%가 표준 포트를 사용하는 것으로 나타났습니다. 일반 텍스트 HTTP 트래픽의 경우 80이고 암호화된 SSL/TLS 트래픽의 경우 443입니다.

미래의 위협 

피싱 및 사기 보고서와 처음으로 통합된 Shape Security 의 최근 연구에 따르면, 두 가지 주요 피싱 동향이 나타날 것으로 예상됩니다.

봇 트래픽(봇넷) 보안 제어 및 솔루션이 향상됨에 따라 공격자들은 클릭 팜을 활용하기 시작했습니다. 이는 수십 명의 원격 "근로자"가 최근에 수집한 자격 증명을 사용하여 대상 웹사이트에 체계적으로 로그인을 시도하는 것을 의미합니다. 연결은 표준 웹 브라우저를 사용하는 인간을 통해 이루어지므로 사기 행위를 감지하는 것이 더 어렵습니다.

비교적 적은 양의 공격이라도 영향을 미칩니다. 예를 들어 Shape Security는 금융 서비스 기관에서 매달 1,400만 건의 로그인을 분석한 결과 수동 사기율이 0.4%인 것으로 나타났습니다. 이는 56,000건의 사기성 로그인 시도에 해당하며, 이러한 유형의 활동과 관련된 수치는 계속 증가할 것으로 예상됩니다.

Shape Security 연구원들은 다중 요소 인증(MFA) 코드를 캡처하여 사용할 수 있는 실시간 피싱 프록시(RTPP)의 볼륨이 증가한 사실도 기록했습니다. RTPP는 중간자 역할을 하며 실제 웹사이트에서 피해자의 거래를 가로채는 역할을 합니다. 공격은 실시간으로 발생하므로 악성 웹사이트는 MFA 코드와 같은 시간 기반 인증을 캡처하고 재생하는 프로세스를 자동화할 수 있습니다. 심지어 세션 쿠키를 훔쳐서 재사용할 수도 있습니다.

최근 활발하게 사용되는 실시간 피싱 프록시로는 ModlishkaEvilginx2가 있습니다. F5 Labs와 Shape Security는 향후 몇 달 동안 RTPP 사용이 증가하는 모습을 모니터링할 예정입니다.

자세한 내용을 알아보려면 F5 Labs 2020 피싱 및 사기 보고서를 다운로드하세요

보고서 정보

올해의 F5 Labs 피싱 및 사기 보고서는 F5 보안 운영 센터(SOC)의 5년치 피싱 사건을 조사하고 OpenText의 Webroot® BrightCloud® Intelligence Services에서 제공하는 활성 및 확인된 피싱 사이트를 심층적으로 조사합니다. 또한 Vigilante의 다크 웹 시장 데이터 분석과 Shape Security의 연구 결과도 포함되어 있습니다. 이러한 것들을 모두 합치면 피싱 세계에 대한 완전하고 일관된 그림이 형성됩니다.