가까운 지인으로부터 즉각적이고 긴급한 사안에 대한 재정적 지원을 요청하는 메시지와 함께 추후 변제하겠다는 서약서를 WhatsApp을 통해 받았습니다. 이러한 요청이 드물다는 점을 감안하여 요청받은 자금을 즉시 전달했습니다.
이후 연락처 목록에 대한 액세스 권한을 얻은 권한이 없는 사람이 계정에 불법적으로 액세스했기 때문에 해당 메일은 귀하의 지인이 발송한 것이 아니라는 사실이 밝혀졌습니다. 이 사건은 개인에게만 영향을 미치는 것이 아니라 가족과 동료에게도 영향을 미치는 계정 탈취 사기가 얼마나 만연해 있는지를 보여주는 사례입니다.
계정 탈취 사기란 무엇인가요?
계정 탈취 사기는 다른 사람의 로그인 자격 증명을 획득하여 불법적으로 계정에 액세스한 후 속이는 행위를 하는 것을 말합니다. 이는 공격자가 계정에 은밀하게 남아 있는 상태에서 개인이 모르는 사이에 발생할 수 있습니다. 또한 공격자는 계정을 완전히 장악하기 위해 합법적인 사용자를 계정에서 축출할 수도 있습니다.
본질적으로 사이버 범죄자는 사용자가 소셜 미디어 플랫폼에 액세스할 수 있는 경우에도 해당 플랫폼에서 정보를 얻을 수 있습니다. 반대로, 사이버 범죄자는 사용자의 액세스를 거부하고 사용자의 이름으로 콘텐츠를 게시하여 사용자의 신원을 사칭할 수 있습니다.
많은 계정 탈취 사기는 해커가 오랜 기간에 걸쳐 치밀하게 계획하는 것으로 관찰되었습니다. 이러한 사기는 주로 귀중한 정보를 보유한 개인과 조직에 초점을 맞추고 있습니다. 해커가 계정에 침투하는 데 성공하면 탈취한 데이터로 상당한 수익을 얻을 수 있습니다. 가해자가 명령을 내리면 피해 당사자는 막대한 손실을 입을 수 있기 때문에 이에 응할 가능성이 높습니다.
계정 탈취 사기는 어떻게 이루어지나요?
계정 탈취 사기는 소셜 미디어, 온라인 뱅킹, 이메일, 전자상거래 등 다양한 온라인 플랫폼을 중심으로 위협 행위자가 개인의 개인 데이터를 수집하는 것에서 시작됩니다. 공격의 범위가 결정되면 기술 및 비기술적 수단을 모두 활용하여 다양한 전술을 실행합니다.
피싱으로 데이터 수집
피싱은 가해자가 직접적인 커뮤니케이션과 조작을 통해 개인을 속여 개인 정보 또는 민감한 데이터를 유출하도록 유도하는 사이버 범죄를 말합니다.
피싱의 성공은 주로 기만적인 메시지를 사용하여 사람의 심리를 악용하는 능력에 기인합니다. 이러한 메시지는 종종 평판이 좋은 개인이나 기관과 같이 신뢰할 수 있는 출처에서 보낸 것처럼 보이도록 제작됩니다.
귀하의 계정에서 의심스러운 활동이 감지되어 계정 보호를 위한 조치를 취하고 있습니다. 자금의 보안을 유지하려면 아래 지침을 따르시기 바랍니다. 제공된 링크를 클릭하면 계정을 일시적으로 차단하기 위해 은행 정보를 입력해야 하는 양식에 액세스할 수 있습니다. 이 조치는 추가적인 무단 거래를 방지하기 위한 예방 조치입니다. 이 문제를 신속히 해결하기 위해 필요한 모든 조치를 취하고 있음을 알려드립니다.
무차별 암호 대입으로 계정 해킹
악의적인 의도를 가진 특정 개인이 계정에 무단으로 액세스하기 위해 보다 직접적인 수단을 사용하고 있다는 사실을 알게 되었습니다. 이러한 사이버 범죄자들은 피싱 공격을 통해 피해자의 협조를 구하는 대신, 일치하는 것을 찾을 때까지 여러 개의 로그인 인증 정보를 추측하는 무차별 암호 대입 전술을 사용하고 있습니다. 이 방법은 사용자의 어떠한 조치도 필요하지 않으므로 인내심이나 리소스가 부족한 사람들에게 편리한 대안이 될 수 있습니다.
무차별 암호 대입 공격의 효과는 종종 불건전한 비밀번호 관행이 만연해 있기 때문이기도 합니다. 공격자는 시행착오를 거치며 다양한 사용자 이름-비밀번호 조합을 사용하며, 우연히 올바른 조합을 찾아내는 것을 목표로 합니다. 일반적인 통념에 따르면 간단한 비밀번호는 복잡한 비밀번호보다 해킹당하기 쉽다고 하지만, 모든 개인이 간단한 비밀번호를 만들 수 있는 능력을 가지고 있는 것은 아닙니다. 어떤 사람들은 대중적인 개인 이름이나 중요한 날짜의 숫자 표현과 같은 단순한 선택을 선택하는데, 이는 실현 가능한 영역에 속합니다.
크리덴셜 스터핑으로 재사용된 비밀번호 악용
크리덴셜 스터핑과 무차별 암호 대입 공격은 모두 계정에 무단으로 액세스하기 위해 획득하거나 추측한 비밀번호에 의존한다는 점에서 공통점을 공유합니다. 그러나 무차별 암호 대입 공격자는 올바른 비밀번호를 찾을 때까지 체계적으로 다양한 비밀번호 조합을 시도하는 반면, 신용카드 스터핑은 다른 플랫폼에서 이전에 획득한 유효한 로그인 자격 증명을 사용하여 관련 없는 애플리케이션의 사용자 계정에 접근하는 방식입니다.
다크웹에서 불법적으로 획득한 로그인 인증정보가 확산되면서 사이버 범죄자들이 번창하는 시장이 형성되었습니다. 악의적인 의도를 가진 개인이 Facebook과 같은 다양한 온라인 플랫폼과 관련된 민감한 정보를 확보한 후 이러한 세부 정보를 활용하여 트위터를 비롯한 다른 웹사이트의 계정에 무단으로 액세스하려고 시도할 수 있습니다.
크리덴셜 스터핑은 봇넷을 사용하는 위협 행위자가 목적을 달성하기 위해 사용하는 기법입니다.이러한 악성 프로그램은 성공적인 로그인 시도의 가능성을 극대화하기 위해 대량의 사용자 데이터를 입력하는 프로세스를 자동화하도록 설계되었습니다. 이러한 방대한 데이터를 수동으로 입력하는 것은 시간과 노력 측면에서 매우 까다로울 수 있으므로 많은 사람들이 효율적인 대안으로 봇을 사용합니다.
계정 탈취 사기를 예방하는 4가지 방법
계정 탈취 사기의 피해자는 금전적, 평판적으로 상당한 손해를 입을 수 있습니다. 이러한 위험을 완화하기 위해 여러 가지 예방 조치가 고안되었습니다.
다단계 인증으로 로그인 확인
해커가 사용자 이름과 비밀번호 세부 정보를 해독하는 데 능숙해짐에 따라 추가 인증 단계를 통합하여 로그인 보안 조치를 강화하는 것이 필수적입니다. 이를 위해서는 이전에 등록하거나 동의한 여러 채널을 통해 신원을 확인하는 다단계 인증(MFA)을 구현해야 합니다. 이러한 채널의 예로는 일회용 비밀번호(OTP), 보안 질문, 스캔 가능한 인증 코드 등이 있습니다.
권한이 없는 개인이 접근하려면 관련 가젯에 전송된 정보를 제공하거나 보안 문의에 응답하거나 적절한 인증 코드를 해독해야 합니다. 이러한 인증 절차 중 하나라도 실패하면 액세스 시도는 무의미해집니다.
실시간 트래픽 모니터링
계정 탈취 사기는 개인의 온라인 계정에 무단으로 액세스하려는 악의적인 공격자가 신중하게 계획한 공격입니다. 이러한 유형의 사기는 자연적으로 발생하는 것이 아니라 사용자 이름 및 비밀번호와 같은 민감한 정보를 얻기 위한 체계적인 접근 방식을 포함합니다. 대부분의 경우 침입자는 올바른 로그인 자격 증명을 추측하려는 초기 시도에 성공하지 못합니다. 대신, 올바른 조합을 찾을 때까지 빠른 시행착오를 반복하는 자동화된 소프트웨어 프로그램과 같은 다양한 전술을 사용합니다. 보안 담당자는 네트워크 가시성을 통해 의심스러운 활동을 모니터링하고 심각한 피해가 발생하기 전에 개입할 수 있습니다.
실시간 트래픽 모니터링은 진행 중인 모든 활동에 대한 인식을 유지하는 데 매우 중요합니다. 그러나 수동 관찰에만 의존하는 것은 비효율적일 수 있습니다. 보안을 강화하려면 인공 지능을 활용하여 의심스러운 트래픽을 식별하고 보고하는 위협 모니터링 솔루션을 통합하는 것이 좋습니다. 이러한 도구는 잠재적인 위협을 탐지하고 사이버 공격으로부터 네트워크를 보호할 수 있는 기능을 갖추고 있습니다.
정기적으로 앱 업데이트
사이버 보안을 개선하려면 소프트웨어 프로그래머와 제공업체가 지속적으로 제품의 보안을 개선하여 진화하는 위험과 약점에 맞서기 위한 공동의 노력이 필요합니다. 그러나 사용자가 수단을 업그레이드하지 않는다면 이러한 개선은 무용지물입니다.
소프트웨어 시스템의 주기적인 업데이트를 통해 소프트웨어 공급업체가 제공하는 최첨단 보안 기능을 활용할 수 있습니다. 이러한 업데이트는 액세스 제어를 우선적으로 구현하여 승인되지 않은 사용자에 대한 시스템 보호를 강화합니다. 경우에 따라 소프트웨어 공급업체가 보안 포트폴리오에 암호화를 통합하여 민감한 정보를 기밀로 유지할 수 있지만, 이러한 보안 강화의 이점은 소프트웨어를 최신 상태로 유지하는 시스템 소유자만 이용할 수 있습니다.
비밀번호 관리자를 사용하여 보안 강화
취약한 비밀번호를 사용하면 무차별 암호 대입 공격, 크리덴셜 스터핑 등과 같은 로그인 기반 공격에 노출될 수 있습니다. 강력한 비밀번호를 만들고 기억하는 데 어려움을 겪는다면 복잡한 비밀번호를 생성하고 안전하게 저장하는 데 도움이 되는 비밀번호 관리자를 사용하는 것이 좋습니다.
“비밀번호 피로”라는 현상으로 인해 다양한 디지털 플랫폼에서 다양한 로그인 자격 증명을 관리하는 것이 점점 더 어려워지고 있습니다. 이 광범위한 문제는 사용자가 각 계정에 대해 강력하고 다양한 비밀번호를 생성하고 기억하는 능력에 영향을 미칩니다. 이 문제를 해결하려면 신뢰할 수 있는 비밀번호 관리 도구를 사용하면 도움이 될 수 있습니다. 이러한 도구는 여러 개의 강력한 비밀번호를 생성하고 안전하게 저장하기 때문에 사용자가 수많은 사용자 이름과 비밀번호를 외울 필요가 없습니다. 또한 일부 비밀번호 관리 도구에는 저장된 비밀번호를 기기와 원활하게 동기화할 수 있는 기능이 탑재되어 있어 웹 브라우징 세션 중에 계정에 더욱 쉽게 액세스할 수 있습니다.
계정 탈취 사기의 핵심은 개인 정보입니다
계정 탈취 사기는 배경이나 지위와 관계없이 누구에게나 영향을 미칠 수 있는 위협입니다. 이러한 유형의 사이버 범죄는 해커가 개인의 온라인 계정에 있는 아주 작은 취약점까지 악용하여 무단으로 액세스하는 것을 포함합니다. 이러한 사기의 희생양이 될 위험을 최소화하려면 민감한 개인 데이터와 로그인 정보를 안전하게 보호하는 것이 필수적입니다. 또한, 진짜인 것처럼 보이지만 침입자의 피싱 시도일 가능성이 있는 이메일을 수신할 때는 주의를 기울여야 합니다. 일반적으로 개인 정보를 요청하거나 사용자에게 특정 작업을 수행하도록 요청하는 메시지의 유효성을 확인하는 것이 좋습니다.