피싱은 부도덕한 개인이 속임수를 통해 민감한 개인 데이터를 확보하기 위해 사용하는 교활한 수법으로, 사이버 범죄자들은 의심하지 않는 피해자를 속이기 위해 지속적으로 전술을 개선하고 있습니다. 이러한 악의적인 활동의 최근 예로는 악의적인 목적으로 활용될 수 있는 빈 이미지를 사용하는 것이 있습니다. 이러한 사기의 경고 신호를 인식하고 적절한 보호 장치를 구현하여 피해를 입지 않도록 하는 것이 중요합니다.
빈 이미지 피싱 사기 설명
빈 이미지 피싱 사기의 피해를 당한 개인에게는 빈 그림 파일로 구성된 .html 또는 .htm 첨부 파일이 포함된 이메일이 전송되는 경우가 많습니다. 이러한 파일을 클릭하면 의심하지 않는 수신자는 자신도 모르게 유해한 웹사이트로 연결될 수 있습니다.
첨부된 파일의 소스 코드를 분석한 결과, SVG 이미지가 Base64를 사용하여 인코딩된 것으로 확인되었습니다. 또한 페이지의 널 이미지 요소에 포함된 자바스크립트 코드로 인해 브라우저가 유해한 웹 주소로 자동 리디렉션되었습니다.
사이버 범죄자에게 의도치 않게 개인 정보를 제공할 수 있으므로 어떠한 개인 정보도 제공하지 않는 것이 필수적입니다.
빈 이미지 피싱 사기를 방어하는 방법
Avanan , 이 사기를 발견한 연구자들은 이 사기가 바이러스 탐지 도구를 우회한다고 경고합니다. 즉, 이메일 제공업체나 고용주의 스캐너에 의존하여 탐지해서는 안 됩니다.
또한 이 사기 수법은 진짜인 것처럼 보이는 사기성 이메일 메시지 안에 악성 콘텐츠를 숨깁니다. 한 예로, 연구원들은 ‘스캔한 송금 조언’이라는 제목의 파일이 포함된 DocuSign의 진짜 통신으로 위장한 이메일을 시연했습니다.
이메일 내의 ‘문서 보기’ 링크를 클릭하면 사용자는 진짜 DocuSign 웹페이지로 이동합니다. 그러나 첨부된 문서에 액세스할 때 문제가 발생합니다.
앞서 언급한 사례는 명백한 진위 여부나 콘텐츠의 매력에 관계없이 예상치 못한 전자 메시지 또는 첨부 파일과의 상호 작용을 자제하는 것이 중요하다는 점을 강조합니다. 피싱 사기가 널리 퍼지면 금융 계좌 세부 정보와 같은 기밀 데이터가 유출될 수 있는 등 피해자에게 해로운 결과를 초래할 수 있습니다.
회사 관리자가 이메일 설정을 수정하여 .html 첨부 파일의 수신을 차단하는 것이 해결책이 될 수 있습니다. 이는 이메일 시스템의 보안을 강화하기 위해 .exe 파일 첨부 파일을 제한하는 많은 조직의 일반적인 관행입니다.
권한을 가진 개인이 취할 수 있는 한 가지 잠재적인 접근 방식은 모의 피싱 연습을 실시하여 직원의 대응을 평가하는 것입니다. 이러한 연습을 통해 사이버 보안에 대한 추가 교육이 필요한 직원을 파악하고 직원들의 전반적인 준비 태세를 강화하여 실제 보안 침해 가능성을 줄일 수 있습니다.
낯선 서신을 처리할 때는 일반적으로 개인 정보를 공개하거나 첨부 파일을 다운로드하는 것을 자제하는 것이 좋습니다. 이메일의 진위 여부가 의심스러운 경우, 다른 통신 수단을 이용하거나 제공된 링크 또는 문서를 상호 참조하여 이메일의 적법성을 확인해야 합니다.
피싱 공격의 지속적인 진화
최근 빈 이미지 피싱 사기와 관련된 사건은 사이버 범죄자들이 의심하지 않는 개인을 속이기 위해 끊임없이 혁신적인 방법을 고안하고 있다는 사실을 뼈아프게 일깨워주고 있습니다. 이 사기는 철자가 틀린 단어나 의심스러운 첨부 파일과 같이 잠재적 피해자에게 경각심을 줄 수 있는 명백한 징후가 없는 교묘한 특성으로 인해 심각한 위협이 되고 있습니다.
예상치 못한 전자 서신은 처음에 진짜인 것처럼 보일지라도 주의를 기울이는 것이 좋습니다.