웨일 피싱의 표적은 다른 사람의 승인 없이 거액의 결제나 송금 또는 민감한 정보의 공개를 승인할 수 있는 최고 경영진(CEO, CFO, COO), 기타 고위 임원, 정무직 공무원 및 조직 리더입니다. 이러한 표적은 일반인보다 더 많은 돈을 사용할 수 있는 고객(또는 도박꾼)을 가리키는 속어를 따서 웨일(고래)이라고 불립니다.

피싱, 스피어 피싱, 웨일 피싱이 어떻게 연관되어 있는지 이해하는 것이 중요한데, 이는 이 용어들이 종종 같은 의미로 사용되거나, 잘못 사용되거나 맥락 없이 사용되기 때문입니다.

피싱은 사용자를 속여 악성 링크나 첨부 파일을 통해 멀웨어를 다운로드하거나, 민감한 정보를 공유하거나, 범죄자에게 돈을 송금하거나, 자신이나 조직을 사이버 범죄에 노출시키는 기타 조치를 취하도록 유도하는 사기성 이메일, 문자 메시지 또는 전화 통화입니다.

컴퓨터나 스마트폰을 사용하는 사람은 누구나 대량 피싱 공격(기본적으로 잘 알려진 비즈니스 또는 조직에서 보낸 것처럼 보이고, 일반적이거나 신뢰할 수 있는 상황을 설명하고, 긴급 조치를 요구하는 양식 메시지)을 받습니다(예: 신용 카드 거부. 아래 링크를 클릭하여 결제 정보를 업데이트하십시오). 링크를 클릭하는 수신자는 신용 카드 번호를 도용하거나 컴퓨터에 멀웨어를 다운로드할 수 있는 악성 웹 사이트로 이동됩니다.

대량 피싱 캠페인은 숫자 게임입니다. 공격자는 일정 비율의 사람이 미끼를 물 것을 알고 있기 때문에 가능한 한 많은 사람에게 메시지를 보냅니다. 한 연구에 따르면 2022년 6개월 동안 2억 5,500만 개 이상의 피싱 메시지가 탐지되었습니다(ibm.com 외부 링크). IBM의 2022년 데이터 유출 비용 보고서에 따르면 피싱은 2022년 데이터 유출의 두 번째로 흔한 원인이며, 피해자에게 랜섬웨어를 전달하는 가장 일반적인 방법이라고 합니다.

스피어 피싱은 조직 내의 특정 개인 또는 개인 집단을 표적으로 하는 피싱 공격입니다. 스피어 피싱 공격은 일반적으로 표적에 대한 권한을 가진 동료나 표적이 신뢰하는 동료(예: 채무 관리자, 인사 책임자)로 가장한 공격자가 결제 또는 데이터 전송을 승인할 수 있는 중간 관리자(지급 계정 관리자, 인사 책임자)를 표적으로 시작됩니다.

스피어 피싱 공격은 대량 피싱 공격보다 개인화된 공격이며 더 많은 작업과 연구가 필요합니다. 하지만 이러한 추가적인 노력이 사이버 범죄자에게 역으로 도움이 될 수 있습니다. 예를 들어 스피어 피싱은 합법적인 공급업체로 위장하고 직원들을 속여 허위 인보이스를 지불하도록 유도하여 2013년부터 2015년까지 Facebook과 Google에서 미화 1억 달러 이상을 훔쳤습니다(ibm.com 외부 링크).

웨일 피싱 또는 웨일링 공격은 고위 임원이나 공무원만을 겨냥한 스피어 피싱 공격입니다. 공격자는 일반적으로 표적 조직 내 동료나 다른 조직의 동급 또는 상위 직급의 동료 또는 관계자를 가장합니다.

고도로 개인화된 웨일 피싱 메시지는 공격자가 실제 발신자의 작문 스타일을 모방하고, 가능한 경우 진행 중인 실제 비즈니스 대화의 맥락을 참조하기 위해 많은 노력을 기울입니다. 웨일 피싱 사기범은 발신자와 표적 간의 대화를 감시하는 경우가 많으며, 많은 경우 사기번은 의심을 완전히 피하기 위해 발신자의 실제 이메일 또는 문자 메시지 계정을 탈취하여 공격 메시지를 직접 전송합니다.

웨일링 공격은 거액의 결제를 승인할 수 있는 개인을 표적으로 하기 때문에 공격자에게 더 높은 즉각적인 보상을 제공할 가능성이 높습니다.

웨일링은 공격자가 동료나 동료가 보낸 것처럼 보이는 사기성 이메일을 표적에게 보내는 스피어 피싱 공격의 또 다른 유형인 비즈니스 이메일 침해(BEC)와 동일시되기도 합니다. BEC가 항상 웨일링인 것은 아니며(하위 직급 직원을 표적으로 하는 경우가 많기 때문에), 웨일링이 항상 BEC인 것은 아니지만(항상 이메일을 수반하는 것은 아니기 때문에), 가장 비용이 많이 드는 웨일링 공격 중 상당수는 BEC 공격과도 관련이 있습니다. 예를 들면:

• 2015년 Ubiquity Networks는 회사의 CEO와 최고 변호사를 사칭한 웨일 피싱 공격자가 최고 회계 책임자에게 비밀 인수 자금을 조달하기 위해 일련의 송금을 하도록 설득하는 이메일을 보내 단 17일 만에 약 4,700만 달러(ibm.com 외부 링크)의 손실을 입었습니다.
  
  
• 2018년 Pathe Film Group은 프랑스에 있는 Pathe 본사의 CEO를 사칭한 사기범이 Pathe 네덜란드 지사의 CEO에게 이메일을 보내 인수 자금으로 송금을 요청하면서 1,920만 유로(2,100만 달러)의 손실을 입었습니다(ibm.com 외부 링크).
  
  
• 또한 2018년에는 이탈리아 회사인 Tecnimont SpA의 CEO, 고위 경영진 및 법률 고문을 사칭하는 공격자들이 인수 자금 조달의 명목으로 회사의 인도 사업부 리더를 속여 13억 루피(1,825만 달러)를 홍콩의 은행(ibm.com 외부 링크)으로 이체하도록 했습니다. 이 사기의 일환으로 공격자는 '인수'의 세부 사항을 논의하기 위해 여러 가짜 전화 회의를 준비하는 추가 단계를 밟았습니다.

피싱, 스피어 피싱, 웨일 피싱은 모두 사회공학적 공격의 예로, 주로 기술적 취약점보다는 사람의 취약점을 악용하여 보안을 침해하는 공격입니다. 이러한 공격은 멀웨어나 해킹에 비해 디지털 증거를 훨씬 적게 남기기 때문에 보안 팀과 사이버 보안 전문가가 탐지하거나 예방하기가 훨씬 더 어려울 수 있습니다.

대부분의 웨일링 공격은 고위급 공무원을 속여 사기성 공급업체나 은행 계좌로 송금하거나 승인 또는 주문하도록 유도하여 조직에서 거액의 돈을 훔치는 것을 목표로 합니다. 그러나 웨일링 공격에는 다음과 같은 다른 목표가 있을 수 있습니다.

• 민감한 데이터 또는 기밀 정보를 훔치는 행위. 여기에는 직원 급여 정보 또는 고객의 개인 금융 데이터와 같은 개인 데이터 도난이 포함될 수 있습니다. 그러나 웨일 피싱 사기는 지적 재산, 영업 비밀 및 기타 민감한 정보를 표적으로 삼을 수도 있습니다.
  
  
• 사용자 자격 증명 도용. 일부 사이버 범죄자는 이메일 자격 증명을 훔치기 위해 예비 웨일 피싱 공격을 시작하여 탈취한 이메일 계정에서 후속 웨일 피싱 공격을 시작할 수 있습니다. 다른 공격자들은 인증 정보를 훔쳐서 공격 대상 네트워크의 자산이나 데이터에 대한 높은 수준의 액세스 권한을 얻습니다.
  
  
• 멀웨어 심기. 웨일 피싱 공격의 비교적 적은 부분은 악성 첨부 파일을 열거나 악성 웹 사이트를 방문하도록 속여 랜섬웨어 또는 기타 멀웨어를 확산시키려고 시도합니다.

다시 말하지만, 대부분의 웨일 피싱 공격은 탐욕에서 비롯됩니다. 그러나 임원이나 회사에 대한 개인적인 복수, 경쟁 압력, 사회적 또는 정치적 활동에 의해 동기가 부여될 수도 있습니다. 고위 공무원에 대한 웨일링 공격은 독립적이거나 국가가 후원하는 사이버 테러 행위일 수 있습니다.

사이버 범죄자는 자신의 목표에 접근할 수 있는 웨일과 웨일에 접근할 수 있는 전송자를 선택합니다. 예를 들어, 기업의 공급망 파트너에게 지급되는 대금을 가로채려는 사이버 범죄자가 기업의 CFO에게 송장을 보내고 공급망 파트너의 CEO에게 대금 지급을 요청할 수 있습니다. 직원 데이터를 훔치려는 공격자는 CFO로 가장하여 인사 담당 부사장에게 급여 정보를 요청할 수 있습니다.

발신자의 메시지를 신뢰할 수 있고 설득력 있게 만들기 위해 웨일링 사기범은 표적과 발신자, 발신자가 근무하는 조직을 철저하게 조사합니다.

사람들이 소셜 미디어를 비롯한 온라인에서 많은 정보를 공유하고 대화를 나누기 때문에 사기범은 소셜 미디어 사이트나 웹을 검색하는 것만으로도 필요한 정보의 대부분을 찾을 수 있습니다. 예를 들어, 공격자는 잠재적 표적의 LinkedIn 프로필을 연구하는 것만으로도 그 사람의 직책, 책임, 회사 이메일 주소, 부서 이름, 동료 및 비즈니스 파트너의 이름과 직책, 최근 참석한 행사 및 출장 계획 등을 알 수 있습니다.

표적에 따라 주류, 비즈니스 및 지역 미디어는 사기범이 사용할 수 있는 추가 정보(예: 소문 또는 완료된 거래, 입찰 중인 프로젝트, 예상 건축 비용)를 제공할 수 있습니다. 업계 분석업체 Omdia의 보고서에 따르면 해커는 약 100분 동안 일반적인 Google 검색을 통해 그럴듯한 스피어 피싱 이메일을 만들 수 있다고 합니다(ibm.com 외부 링크).

그러나 웨일 피싱 공격을 준비할 때 사기범은 종종 추가 자료를 수집하기 위해 표적과 발신자를 해킹하는 중요한 추가 단계를 수행합니다. 이는 사기범이 추가 조사를 위해 파일 내용을 볼 수 있도록 하는 스파이웨어로 표적과 발신자의 컴퓨터를 감염시키는 것만큼 간단할 수 있습니다. 좀 더 야심찬 사기범은 보낸 사람의 네트워크를 해킹하여 보낸 사람의 이메일이나 문자 메시지 계정에 액세스하고 관찰하고 실제 대화에 참여할 수 있습니다.

공격할 때가 되면 사기범은 공격 메시지를 보냅니다. 가장 효과적인 웨일 피싱 메시지는 진행 중인 대화의 맥락에 맞는 것으로 보이며, 특정 프로젝트 또는 거래에 대한 자세한 언급을 포함하고, 신뢰할 수 있는 상황을 제시하고(프리텍스팅이라는 사회공학적 전술), 마찬가지로 신뢰할 수 있는 요청을 하는 것으로 보입니다. 예를 들어, 회사 CEO로 가장한 공격자는 CFO에게 다음 메시지를 보낼 수 있습니다.

어제 대화에 따르면 BizCo 인수를 담당한 변호사가 보낸 청구서가 첨부되어 있습니다. 계약서에 명시된 대로 내일 오후 5시(동부 표준시)까지 결제해 주세요. 감사합니다.

이 예에서 첨부된 청구서는 사기범의 은행 계좌로 직접 지불하도록 수정된 법률 회사의 청구서 사본일 수 있습니다.

표적에게 진짜처럼 보이도록 하기 위해 웨일링 메시지에는 다음을 포함한 다양한 사회공학적 전술이 포함될 수 있습니다.

• 스푸핑된 이메일 도메인. 공격자가 발신자의 이메일 계정을 해킹할 수 없는 경우에는 그와 유사한 이메일 도메인을 생성합니다(예: bill.smith@company.com의 경우 bill.smith@cornpany.com). 웨일링 이메일에는 복사된 이메일 서명, 개인정보 보호정책, 자세히 확인하지 않으면 진짜인 것처럼 보이는 기타 시각적 단서가 포함될 수도 있습니다.
  
  
• 긴박감. 중요한 마감일이나 연체료에 대한 언급과 같은 시간 압박으로 인해 표적은 요청을 신중하게 고려하지 않고 서둘러 행동하게 될 수 있습니다.
  
  
• 기밀 유지 요구. 웨일링 메시지에는 요청에 의문을 제기할 수 있는 다른 사람에게 표적이 알려지지 않도록 당분간혼자만 알고 있으라는 등의 지침이 포함되어 있는 경우가 많습니다.
  
  
• 보이스 피싱(비싱) 백업. 피싱 메시지에는 표적이 확인을 위해 전화할 수 있는 전화번호가 포함되는 경우가 점점 더 많아지고 있습니다. 일부 사기범은 피싱 이메일에 이어 인공 지능을 기반으로 발신자의 목소리를 사칭한 음성 메일 메시지를 보내기도 합니다.