비싱(Vishing, 음성과 피싱의 합성어)은 전화를 통해 이루어지며, 심리학을 이용해 피해자를 속여 민감한 정보를 넘겨주거나 공격자를 대신해 어떤 조치를 취하도록 하기 때문에 일종의 사회 공학적 공격으로 간주됩니다.
한 가지 일반적인 전술은 권위를 사용하는 것입니다. 예를 들어, 공격자는 미납 세금을 징수하기 위해 전화하는 것처럼 가장하여 IRS 직원인 것처럼 가장할 수 있습니다. 체포에 대한 두려움 때문에 피해자는 가해자가 시키는 대로 할 수 있습니다. 이러한 유형의 공격은 일반적으로 기프트 카드를 통한 결제와 관련이 있으며 2020년 미국에서만 피해자에게 1억 2,400만 달러의 피해를 입혔습니다.
비싱과 피싱 은 모두 소셜 엔지니어링 공격의 한 유형이며 동일한 전술을 많이 사용하지만 주요 차이점은 공격을 수행하는 데 사용되는 매체입니다.
위에서 언급했듯이 비싱은 전화기를 사용하여 공격을 수행합니다. 공격자는 피해자에게 전화를 걸거나 피해자를 속여 전화를 걸게 하고 구두로 속여 무언가를 하도록 시도합니다. 반면 피셔는 텍스트 기반의 전자 통신 형식을 사용하여 공격을 수행합니다. 이메일은 가장 일반적이고 잘 알려진 피싱 매체이지만 공격자는 문자 메시지(스미싱이라고 함), 기업 커뮤니케이션 앱(Slack, Microsoft Teams 등), 메시징 앱(Telegram, Signal, WhatsApp 등) 또는 소셜 미디어(Facebook, Instagram 등)를 사용하여 공격을 수행할 수도 있습니다.
비싱 공격은 피싱 공격만큼 다양할 수 있습니다. 비싱에 사용되는 가장 일반적인 구실은 다음과 같습니다.
다른 소셜 엔지니어링 공격과 마찬가지로 사용자 인식은 예방 및 보호에 필수적입니다. 사이버 보안 인식 교육에 포함해야 할 몇 가지 중요한 사항은 다음과 같습니다.
피싱 공격과 마찬가지로 교육 기반 비싱 방지는 완벽하지 않습니다. 공격이 빠져나갈 가능성은 항상 있습니다. 그러나 피싱과 달리 비싱은 기술을 사용하여 방지하기 어렵습니다. 비싱은 전화를 통해 발생하기 때문에 잠재적인 공격을 감지하려면 모든 전화 통화를 도청하고 경고 신호를 감시해야 합니다.
이러한 이유로 조직은 심층적으로 방어를 구현하고 공격자의 목표에 집중하여 비싱 공격을 해결해야 합니다. 기업 환경에서 비싱 공격은 직원의 시스템을 멀웨어로 감염시키거나 공격자에게 중요한 회사 데이터에 대한 액세스 권한을 제공하도록 설계될 수 있습니다. 비싱 공격의 영향은 초기 공격 벡터(예: 비싱 전화 통화)를 탐지할 수 없는 경우에도 공격자가 이러한 목표를 달성하지 못하도록 하는 솔루션을 배치하여 완화할 수 있습니다.
체크 포인트는 조직이 비싱, 피싱 및 기타 관련 공격을 완화하는 데 도움이 되는 다양한 솔루션을 제공합니다. 체크 포인트의 Harmony Email and Office 에는 안티피싱(Anti-Phishing) 보호 기능이 포함되어 있으며 비싱 공격에서 영감을 받은 데이터 유출 시도를 탐지하는 데 도움이 될 수 있습니다. 체크 포인트가 소셜 엔지니어링 위협으로부터 조직을 보호하는 방법에 대해 자세히 알아보려면 지금 무료 데모를 요청할 수 있습니다.
피드백