일반적인 대량 피싱 공격에서 해커는 잘 알려진 기업, 조직 또는 심지어 유명인이 보낸 것처럼 보이는 사기성 메시지를 작성합니다. 그런 다음 가능한 한 많은 사람들에게 피싱 메시지를 무차별적으로 전송하여 적어도 소수의 사람들이 속아서 주민등록번호, 신용카드 번호 또는 계정 비밀번호와 같은 중요한 정보를 제공하기를 바라는 '뿌리면 걸리겠지' 수법을 시도합니다.  

반면, 스피어 피싱 공격은 특정 자산에 접근할 수 있는 특정 개인을 겨냥한 표적 공격입니다.

목표 설정

대부분의 스피어 피싱 공격은 사기성 공급업체나 은행 계좌로 결제 또는 송금하도록 속이거나 신용카드 번호, 은행 계좌 번호 또는 기타 기밀 또는 민감한 데이터를 유출하도록 유도하여 조직에서 거액의 돈을 훔치는 것을 목표로 합니다.

하지만 스피어 피싱 캠페인은 다른 피해를 입힐 수 있습니다.

• 랜섬웨어 또는 기타 멀웨어 확산 - 예를 들어, 위협 행위자가 Microsoft Excel 파일과 같은 악성 이메일 첨부 파일을 보내면 이 파일을 열면 멀웨어가 설치될 수 있습니다.
   

• 해커가 더 큰 공격을 수행하는 데 사용할 수 있는 사용자 이름 및 비밀번호와 같은 자격 증명을 훔칩니다. 예를 들어 해커는 사기성 '비밀번호 업데이트' 웹 페이지로 연결되는 악성 링크를 표적에게 보낼 수 있습니다.
   

• 고객이나 직원의 개인 데이터, 기업 재무 또는 영업 비밀과 같은 개인 데이터 또는 민감한 정보를 훔치는 행위

하나 이상의 대상 선택

그런 다음 스피어 피싱범은 적절한 대상을 식별합니다. 해커가 원하는 리소스에 직접 액세스할 수 있거나 멀웨어를 다운로드하여 간접적으로 액세스할 수 있는 사람 또는 그룹을 적절한 표적으로 식별합니다.

스피어 피싱 시도는 종종 회사 정책과 절차를 엄격하게 따르지 않을 수 있는 네트워크 또는 시스템 액세스 권한이 높은 중간급, 하위급 또는 신입 직원을 대상으로 합니다. 일반적인 피해자는 결제 권한이 있는 재무 관리자, 네트워크에 관리자 수준의 액세스 권한이 있는 IT 관리자, 직원의 개인 데이터에 액세스할 수 있는 HR 관리자 등입니다. (다른 유형의 스피어 피싱 공격은 임원급 직원만을 대상으로 합니다. 아래 '스피어 피싱, 웨일링 및 BEC'를 참조하십시오)

대상 조사

공격자는 표적과 가까운 사람, 즉, 표적이 신뢰하는 사람이나 조직 또는 표적이 책임이 있는 사람으로 사칭하는 데 사용할 수 있는 정보를 찾기 위해 표적에 대해 조사합니다.

사람들이 소셜 미디어를 비롯한 온라인에서 자유롭게 공유하는 수많은 정보 덕분에 사이버 범죄자들은 많은 노력을 들이지 않고도 이러한 정보를 찾을 수 있습니다. Omdia의 보고서에 따르면 해커들은 약 100분 동안의 일반 Google 검색을 통해 그럴듯한 스피어 피싱 이메일을 만들 수 있다고 합니다. 일부 해커는 회사 이메일 계정이나 메시징 앱에 침입하여 더 자세한 정보를 수집하기 위해 대화를 관찰하는 데 더 많은 시간을 할애하기도 합니다.

메시지 작성 및 전송

스피어 피싱 공격자는 이 연구를 사용하여 신뢰할 수 있는 출처 또는 사람이 보낸 것처럼 보이는 표적 피싱 메시지를 만들 수 있습니다.

예를 들어 '잭'이 ABC Industries의 매출채권 관리자라고 가정해 보겠습니다. 공격자는 잭의 공개 LinkedIn 프로필만 보고도 잭의 직책, 담당 업무, 회사 이메일 주소, 부서명, 상사의 이름과 직책, 비즈니스 파트너의 이름과 직책을 알아낼 수 있습니다. 그런 다음 이러한 세부 정보를 사용하여 잭의 상사나 부서장이 보낸 매우 믿을 만한 이메일을 잭에게 보낼 수 있습니다.

잭에게

귀하가 XYZ Systems의 송장을 처리하는 것으로 알고 있습니다. 방금 결제 프로세스를 업데이트 중이며 향후 모든 결제를 새 은행 계좌로 송금해야 한다는 소식을 들었습니다. 다음은 새 계정 세부 정보가 포함된 최신 청구서입니다. 지금 송금해 주실 수 있습니까?

이메일에는 일반적으로 스푸핑된 이메일 주소(예: 스푸핑된 발신자의 표시 이름은 표시되지만 사기 이메일 주소는 숨겨져 있음), 유사하게 스푸핑된 동료 이메일의 참조(Cc), ABC Industries 회사 로고가 있는 이메일 서명 등 사칭한 발신자의 신원을 한눈에 알아볼 수 있는 시각적 신호가 포함되어 있습니다. 일부 사기꾼은 가장 확실한 발신자의 실제 이메일 계정을 해킹하여 계정으로 메시지를 보낼 수 있습니다.

또 다른 수법은 이메일과 문자 메시지 피싱(SMS 피싱 또는 스미싱) 또는 음성 피싱(비싱)을 결합하는 것입니다. 예를 들어, 이메일은 송장을 첨부하는 대신 Jack에게 사기꾼이 근무하는 전화번호로 XYZ Systems 지급 담당 부서에 전화하도록 지시할 수 있습니다.

스피어 피싱 공격은 소셜 엔지니어링 기술을 많이 사용합니다. 심리적 압박이나 동기를 사용하여 사람들을 속이거나 조종하여 해서는 안 되고 일반적으로 취하지 않는 행동을 취하도록 하는 전술이 있습니다.

위의 스피어 피싱 이메일처럼 회사 고위 관계자를 사칭하는 것을 한 가지 예시로 들 수 있습니다.직원들은 권위를 존중하도록 조건화되어 있으며, 명령이 평범하지 않더라도 경영진의 명령을 따르지 않는 것을 무의식적으로 두려워합니다. 스피어 피싱 공격은 다음과 같은 기타 사회 공학 기술을 사용합니다.

• 프리텍스팅 - 대상이 인식하고 공감할 수 있는 현실적인 이야기나 상황을 조작합니다(예: '비밀번호가 곧 만료됩니다... ').
   

• 긴박감 조성: 예를 들어, 공급업체를 사칭하여 중요한 서비스에 대한 대금 결제가 늦어졌다고 주장하는 경우입니다.

• 감정이나 무의식적 동기에 호소하기: 대상의 두려움, 죄책감 또는 탐욕을 유발하거나, 대상이 관심을 갖는 원인이나 사건을 언급하거나, 심지어 도움이 되는 것처럼 보이려고 합니다. 예를 들어, '찾고 있던 컴퓨터 부품을 판매하는 웹 사이트 링크가 여기 있습니다.'라고 표시할 수 있습니다.

대부분의 스피어 피싱 캠페인은 여러 소셜 엔지니어링 전술을 결합합니다. 예를 들어, 대상의 직속 상사가 '비행기를 타려고 하는데 배터리가 방전됐어요. 연체료를 내지 않도록 XYZ사로 빨리 송금해 주세요.'라는 내용의 메모를 보낼 수 있습니다.

특정 개인이나 그룹을 대상으로 하는 피싱 공격은 스피어 피싱 공격이지만 몇 가지 주목할 만한 하위 유형이 있습니다.

고래잡이(고래 피싱이라고도 함)는 가장 세간의 이목을 끌고 가장 가치가 높은 피해자를 대상으로 하는 스피어 피싱입니다. 표적은 이사회 구성원 또는 최고위 경영진인 경우가 많지만 유명인이나 정치인과 같은 비기업 대상일 수도 있습니다. 고래잡이 공격자, 즉 웨일러들은 이러한 표적만이 제공할 수 있는 사냥감을 쫓고 있으며, 여기에는 매우 많은 양의 현금, 매우 가치 있는 기밀 정보 등이 포함될 수 있습니다. 당연히 고래잡이 공격에는 다른 스피어 피싱 공격보다 더 자세한 연구가 필요합니다.

비즈니스 이메일 침해(BEC)는 특히 조직에서 금전을 탈취하는 것을 목표로 하는 스피어 피싱입니다. 두 가지 일반적인 형태의 BEC는 다음과 같습니다.

• CEO 사기: 사기꾼이 최고 경영진의 이메일 계정을 사칭하거나 직접 해킹하여 한 명 이상의 하위 직원에게 사기성 계좌로 자금을 이체하거나 사기성 공급업체로부터 구매하도록 지시하는 메시지를 보냅니다.
   

• 이메일 계정 침해 (EAC): 사기꾼은 하위 직원의 이메일 계정에 대한 액세스 권한을 얻습니다. 예를 들어, 재무, 영업 또는 연구 개발 분야의 관리자가 이를 사용하여 공급업체에 사기성 송장을 보내거나, 다른 직원에게 사기성 결제 또는 입금을 지시하거나, 기밀 데이터에 대한 액세스를 요청할 수 있습니다.

성공적인 BEC 공격은 가장 많은 비용이 드는 사이버 범죄 중 하나입니다. BEC의 가장 잘 알려진 사례 중 하나는 CEO를 사칭한 해커가 회사 재무 부서를 속여 4,200만 유로를 사기 은행 계좌로 이체하도록 유도한 것입니다.

피싱 공격은 기존의 시그니처 기반 사이버 보안 도구로 식별할 수 없는 경우가 많고, 공격자가 사람의 보안 방어를 통과하기만 하면 되기 때문에 대응하기 가장 어려운 사이버 공격 중 하나입니다.

스피어 피싱 공격은 표적 특성과 개인화된 콘텐츠로 인해 일반인에게 훨씬 더 설득력이 있기 때문에 특히 어렵습니다. 그러나 스피어 피싱의 공격을 전히 막지는 못하더라도 조직이 스피어 피싱의 영향을 줄이기 위해 취할 수 있는 조치가 있습니다.

보안 인식 교육. 스피어 피싱은 인간의 본성을 이용하기 때문에 직원 교육은 이러한 공격에 대한 중요한 방어선이 됩니다. 보안 인식 교육에는 다음이 포함될 수 있습니다.

• 직원들에게 의심스러운 이메일을 식별하는 기술을 교육합니다. 예를 들어, 이메일 발신자 이름에 사기성 도메인 이름이 있는지 확인합니다.
   

• 소셜 네트워킹 사이트에서 과도한 공유를 방지하는 방법에 대한 팁
   

• 좋은 업무 습관. 예를 들어, 원치 않는 첨부 파일을 열지 않거나, 두 번째 채널을 통해 비정상적인 결제 요청을 확인하거나, 공급업체에 전화를 걸어 인보이스를 확인하거나, 이메일 내의 링크를 클릭하는 대신 웹사이트로 직접 이동합니다.
   

• 직원이 배운 내용을 적용할 수 있는 스피어 피싱 시뮬레이션

다단계 및 적응형 인증. 다단계 인증(사용자 이름과 비밀번호 외에 하나 이상의 자격 증명 필요) 및/또는 적응형 인증(사용자가 다른 기기나 위치에서 로그인할 때 추가 자격 증명 필요)을 구현하면 해커가 사용자의 이메일 비밀번호를 탈취하더라도 사용자의 이메일 계정에 액세스하는 것을 방지할 수 있습니다.

보안 소프트웨어.단일 보안 도구로 스피어 피싱을 완전히 예방할 수는 없지만 여러 스피어 피싱 공격을 예방하거나 이로 인해 발생하는 피해를 최소화하는 역할을 할 수 있습니다.

• 스팸 필터 및 보안 이메일 게이트웨이와 같은 일부 이메일 보안 도구는 스피어 피싱 이메일을 탐지하고 우회하는 데 도움이 될 수 있습니다.
   

• 바이러스 백신 소프트웨어는 스피어 피싱으로 인해 발생하는, 알려진 맬웨어 또는 랜섬웨어 감염을 무력화하는 데 도움이 될 수 있습니다.

• 보안 웹 게이트웨이 및 기타 웹 필터링 툴은 스피어 피싱 이메일에 연결된 악성 웹 사이트를 차단할 수 있습니다.
  
  
• 시스템 및 소프트웨어 패치는 스피어 피싱 공격자가 일반적으로 악용하는 기술적 취약성을 제거할 수 있습니다.

• 엔터프라이즈 보안 솔루션은 보안 팀과 보안 운영 센터(SOC)가 스피어 피싱 공격과 관련된 악성 트래픽과 네트워크 활동을 탐지하고 차단하는 데 도움을 줄 수 있습니다. 이러한 솔루션에는 보안 오케스트레이션, 자동화 및 대응(SOAR), 보안 인시던트 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 네트워크 탐지 및 대응(NDR), 확장 탐지 및 대응(XDR)이 포함됩니다(이에 국한되지 않음).