비싱이란 무엇입니까? 보이스피싱 사기 수법 및 수법 공개

게시 됨: 2023-10-12
바이싱 공격 설명

음성 커뮤니케이션과 피싱 전술을 교묘하게 혼합한 Vishing은 사기꾼들이 놀라울 정도로 정교하게 수법을 개선함에 따라 엄청난 도전 과제를 제시합니다. 이 기사에서 우리는 그 메커니즘, 그것이 사용하는 심리적 조작, 인식 및 예방을 위한 중요한 전략을 조사하여 개인이 음성 기반 사이버 속임수의 위험한 바다를 헤쳐 나갈 수 있는 지식을 갖추도록 무장시킵니다.

비싱이란 무엇입니까?

비싱(Vishing) 또는 보이스 피싱(Vish Phishing)은 위협 행위자가 전화 통화나 음성 메시지를 사용하여 개인을 속여 비밀번호, 신용 카드 정보, 주민등록번호와 같은 민감한 정보를 누설하도록 하는 사회 공학 공격의 한 형태입니다. 음성 통신을 신뢰하는 인간의 경향을 이용하여 Vishing 가해자는 잘못된 긴박감이나 두려움을 조성하여 피해자가 발신자의 신원을 확인하지 않고 행동하도록 유도합니다.

사람들이 계속해서 문자 메시지를 선호함에 따라, 비싱을 인식하고 이에 대처하는 방법을 교육하여 전화 통화가 때때로 평범하지 않은 시대에 안전한 통신 환경을 보장하는 것이 중요해졌습니다. 안전하고 선호하는 통신 채널을 육성하려면 문자 메시지의 편리함과 음성 기반 위협에 대한 인식의 균형을 맞추는 것이 필수적입니다.

피싱-스미싱-비싱 환경 탐색

1990년대에 유래한 '피싱'이라는 용어는 디지털 세계에서 피해자를 속이기 위해 '미끼'로 사용되는 사기꾼의 전술을 묘사했습니다. 이 용어는 오늘날에도 지속되며 개인을 속여 기만적인 함정에 빠지게 하는 사회 공학과 관련된 사기를 나타냅니다.

사이버 범죄가 진행되면서 "스미싱(smishing)", "비싱(vising)"과 같은 새로운 용어가 등장하여 더 넓은 피싱 범주에 속하게 되었습니다. 스미싱 공격은 수신자가 악성 링크를 클릭하거나 문자 교환을 통해 개인 정보를 공유하도록 유도하는 것을 목표로 SMS를 보내는 사기꾼을 말합니다.

반면, vishing은 공격의 특정 단계에서 음성 통신을 통합합니다. 초기 메시지의 목적은 잠재적인 피해자가 전화를 걸도록 유도하여 공격자가 속임수를 계속하거나 연락한 번호의 소유권을 확인할 수 있도록 하는 것입니다.

비싱은 어떻게 작동하나요?

Vishing 공격은 성공을 위해 임의의 숫자로 전화를 거는 것보다 훨씬 더 많은 것을 포함하는 복잡한 작업입니다. 아래에서 바이싱 공격의 상세한 4단계 여정을 살펴보세요.

비싱 공격이 작동하는 방식 인포그래픽

1단계: 조사

공격은 위협 행위자가 대상을 철저히 조사하면서 시작됩니다. 이 단계에서는 연락처 정보를 공유할 준비가 된 잠재적 피해자의 응답을 예상하여 피싱 이메일을 배포할 수 있습니다. 정교한 소프트웨어를 사용하면 피해자의 지역번호를 공유하는 번호를 활용하여 다수의 사람에게 전화를 걸 수 있습니다.

2단계: 호출 실행

피해자가 이전 피싱 이메일에 속았다면 수신 전화에 대해 덜 의심할 가능성이 높습니다. 바이싱 전술의 교활함에 따라 피해자는 전화를 예상하여 해커가 더 쉽게 공격할 수 있습니다. 공격자는 지역 번호로 걸려온 전화가 응답될 가능성을 이용합니다.

3단계: 설득

접촉이 이루어지면 위협 행위자의 목표는 피해자의 내재된 신뢰, 공포, 탐욕, 이타주의 본능을 조작하는 것으로 전환됩니다. 이러한 사회 공학 기술을 혼합하여 사용하여 피해자를 안심시키고 다음과 같이 설득할 수 있습니다.

  • 은행 및 신용카드 정보 공개

  • 이메일 주소 공유

  • 자금 이체

  • 기밀 업무 관련 문서 전달

  • 고용주에 대한 정보를 공개하세요

4단계: 정점

바이싱 여행은 여기서 끝나지 않습니다. 획득한 정보로 무장한 악의적인 공격자는 추가 범죄를 저지를 태세를 갖추고 있습니다. 그들은 피해자의 은행 자원을 고갈시키고, 신원을 가장하고, 무단 거래를 실행할 수 있습니다. 게다가 피해자의 이메일을 활용하여 동료를 속여 민감한 조직 정보를 공개할 수도 있습니다.

비싱 방법

Vishers는 기만적인 목표를 달성하기 위해 다양한 전술을 사용합니다. 일반적인 방법은 다음과 같습니다.

  • 발신자 ID 스푸핑 : 공격자는 발신자 ID를 조작하여 은행이나 정부 기관과 같이 신뢰할 수 있는 기관에서 전화를 거는 것처럼 보이게 합니다.

  • 프리텍스팅(Pretexting) : 공격자는 타깃으로부터 정보를 추출하기 위해 조작된 시나리오나 프리텍스트를 생성한다.

  • IVR 피싱 : IVR(자동 대화형 음성 응답) 시스템은 합법적인 회사를 모방하여 민감한 데이터를 캡처합니다.

일반적인 비싱 사례

이러한 사기가 점점 더 정교해짐에 따라 일반적인 패턴과 시나리오를 인식하는 것이 중요합니다. 다양한 비싱 사례를 살펴보기 전에 가장 널리 사용되는 전술 중 일부를 숙지하여 한 발 앞서 정보를 보호할 수 있도록 합시다.

IRS 사기

발신자는 IRS 요원을 사칭하여 피해자가 세금을 납부해야 한다고 주장하며 즉시 지불하지 않으면 체포될 수 있으며 일반적으로 기프트 카드나 전신 송금을 통해 지불을 요구합니다. 이 변종에는 세금 신고서의 불일치를 주장하고 법적 조치를 위협하는 자동화된 메시지가 포함되는 경우가 많으며, IRS 연락을 모방하기 위한 발신자 ID 스푸핑도 함께 사용됩니다. 이러한 주장을 IRS에 직접 확인하고 사기꾼과의 접촉을 피하는 것이 중요합니다.

기술 지원 사기

사기꾼은 유명 회사의 기술 지원 담당자로 가장하여 피해자의 컴퓨터에 바이러스가 있다고 주장합니다. 존재하지 않는 문제를 해결하기 위해 원격 액세스 또는 결제를 요청합니다.

은행 사기 경고

사기꾼은 피해자의 은행 직원인 것처럼 가장하여 자신의 계좌에 의심스러운 활동이 있다고 말합니다. 이들은 피해자의 신원을 '확인'하고 계정을 '보안'하기 위해 계정 세부정보와 PIN을 요구합니다. 이를 준수하는 대신 대화를 중단하고 공식 웹사이트의 연락처 정보를 사용하여 은행에 직접 문의하는 것이 좋습니다.

복권 또는 경품 사기

피해자는 경품이나 복권에 당첨됐지만 보상을 받으려면 세금이나 수수료를 미리 납부해야 한다는 전화를 받습니다. 그러한 전술의 희생양이 되는 것을 피하려면 경계와 검증이 핵심입니다.

사회 보장 사기

전화를 건 사람들은 사회보장국에서 왔다고 주장하며 피해자의 SSN이 의심스러운 활동으로 인해 정지되었다고 말하며 문제 해결을 위해 개인 정보를 요청했습니다. 특히, 연방거래위원회(Federal Trade Commission)는 전화 통화를 노인을 대상으로 하는 사기꾼이 사용하는 주요 방법으로 식별합니다.

의료 경고/보험 사기

사기꾼은 무료 의료 경보 시스템을 제공하거나 건강 보험 담당자인 것처럼 가장하여 특히 노인을 대상으로 피해자로부터 개인 정보 및 금융 정보를 추출합니다.

조부모 사기

전화를 건 사람은 당장 재정적 도움이 필요한 곤경에 처한 손주인 척하며 조부모에게 다른 가족들에게 말하지 말라고 요청합니다.

유틸리티 사기

사기꾼들은 유틸리티 회사 대표를 사칭하여 즉시 지불하지 않으면 피해자의 서비스가 중단될 것이라고 주장합니다.

정부 보조금 사기

피해자들은 정부 보조금을 받을 대상으로 선정되었으며 자금을 받으려면 처리 수수료를 지불하거나 은행 계좌 정보를 제공해야 한다는 말을 들었습니다.

부채 추심 사기

전화를 건 사람은 채권추심자 행세를 하며 피해자가 실제로 빚지지 않은 빚을 갚지 않으면 법적 조치를 취하겠다고 위협합니다. 합법적인 대출 기관과 투자자는 이러한 방식으로 운영하거나 예상치 못한 접촉을 시작하지 않으므로 회의적인 태도를 유지하는 것이 중요합니다.

비싱 공격 인식

바이싱 공격을 인식하는 방법

비싱을 인식하는 것은 그러한 사기 행위의 피해자가 되지 않도록 자신을 보호하는 데 중추적인 역할을 할 수 있습니다. 주의를 기울여야 할 주요 측면 중 하나는 통화 중 오디오입니다. 전문적인 설정에 맞지 않는 배경 소음으로 인해 통화 품질이 좋지 않을 수 있습니다.

또한, 바이싱 공격은 종종 다음과 같은 명백한 징후를 나타냅니다.

  • 긴급성 : 발신자는 즉각적인 조치를 주장하며 피해자에게 성급하게 정보를 공유하도록 압력을 가합니다.

  • 민감한 정보 요청 : 합법적인 조직에서는 전화로 개인 데이터를 요청하는 경우가 거의 없습니다.

  • 알 수 없는 발신자 : 알 수 없거나 예상치 못한 번호로부터 전화를 받는 것은 위험 신호일 수 있습니다.

바이싱을 예방하는 방법

비싱을 방어하려면 다각적인 접근 방식이 필요합니다. 피해자가 되지 않도록 자신을 보호하려면 다음 예방 조치를 준수하십시오.

민감한 정보를 보호하세요

전화로 민감한 정보를 확인하거나 누설하는 것을 삼가해주세요. 실제 은행이나 정부 기관은 전화를 통해 개인 정보를 요구하지 않는다는 점을 기억하세요.

주의 깊게 관찰하십시오

전화를 건 사람의 언어와 태도를 면밀히 조사하십시오. 개인 정보를 공개하지 않도록 주의하고, 통화 중에 발생하는 위협이나 긴급한 요구에 주의하세요.

통화를 선별하세요

모르는 번호로 전화가 오면 음성 메일로 전달하는 것이 더 안전합니다. 발신자 ID는 조작될 수 있으므로 전화를 받을지 여부를 결정하기 전에 메시지를 듣고 발신자의 신원을 확인하십시오.

공유된 정보 제한

답변할 경우 자신, 직장 또는 위치에 대한 세부 정보를 제공하지 마십시오.

문의하고 확인하세요

발신자가 제품을 마케팅하거나 보상을 제공하는 경우 신원 및 소속 증명을 요구합니다. 귀하의 정보를 공유하기 전에 제공된 정보를 확인하십시오. 고객이 따르기를 주저하는 경우 통화를 종료하세요.

Do Not Call 레지스트리에 등록

Do Not Call Registry에 귀하의 전화번호를 등록하면 텔레마케터가 단념하게 되고 합법적인 회사가 일반적으로 이 목록을 존중하는 것처럼 그러한 기관으로부터의 전화는 의심스러워지게 됩니다.

공식적인 요청에 유의하세요

합법적인 상사나 HR 담당자는 개인 채널을 통한 자금 이체, 민감한 데이터 또는 문서 제출을 요구하지 않는다는 점에 유의하십시오.

의심스러운 통신을 무시하세요

전화번호를 요청하는 이메일이나 소셜 미디어 메시지에 응답하지 마세요. 이러한 통신은 표적 공격의 전조가 될 수 있습니다. 의심스러운 메시지가 있으면 IT 또는 지원 팀에 보고하세요.

자신을 교육하십시오

적극적으로 정보를 찾고, 인식 프로그램에 참석하고, 온라인 리소스를 사용하여 최신 위협과 보호 조치를 숙지하세요.

SMS 마케팅을 사용하는 기업은 잠재적인 사기를 인식하고 대응하는 방법에 대한 정보를 제공하고 합법적인 의사소통과 기만적인 전술의 차이점을 강조함으로써 소비자에게 비싱에 대해 교육하는 역할을 할 수 있습니다.

위반할 경우 어떤 조치를 취해야 합니까?

자신도 모르게 사기꾼으로 의심되는 사람과 은행 정보를 공유한 경우 즉각적인 조치가 필요합니다.

귀하의 은행, 신용 카드 회사, 금융 기관 또는 관련 Medicare 담당자에게 문의하십시오. 의심스러운 거래를 중단하고 추가 승인되지 않은 청구를 방지할 수 있는 가능성에 대해 문의하세요. 보안을 강화하고 무단 액세스를 방지하려면 계정 번호를 변경하는 것이 좋습니다.

그 후 적절한 조치를 위해 연방거래위원회(Federal Trade Commission) 또는 FBI의 인터넷 범죄 신고 센터(Internet Crime Complaint Center)에 불만을 제기하세요.

결론

기만적이고 잠재적으로 피해를 줄 수 있는 비싱은 경계, 교육, 현명한 기술 사용을 통해 효과적으로 완화될 수 있습니다. 개인과 조직은 정보를 계속 얻고 주의를 기울임으로써 비셔의 시도를 저지하고 민감한 정보의 보안을 보장할 수 있습니다.