오크리지 국립연구소가 해킹당했고, 관리자들은 서버에서 데이터가 유출되는 것을 발견했습니다. 사이버 범죄자들은 연구소 측이 해킹 사실을 알아채고 민감한 정부 시설의 추가 침투를 막기 위해 인터넷 접속을 차단하기 전까지 “몇 메가바이트” 정도의 정보만 훔쳐냈습니다 몸캠피싱 대처방법.
이번 침입은 4월 7일 연구소 직원들에게 발송된 스피어피싱 이메일을 통해 이루어졌습니다. 인사부에서 발송된 것으로 추정되는 이 이메일에는 직원 복리후생에 대한 내용이 담겨 있었고, 악성 웹페이지 링크가 포함되어 있었습니다. 해당 웹페이지에서는 IE 취약점을 악용하여 사용자 컴퓨터에 추가 코드를 다운로드하는 악성코드가 포함되어 있었습니다. 보고서에 따르면 금융기관과 그 고객들이 피싱 공격의 절반 이상 표적이 되고 있습니다. 그 외 특정 공격 대상으로는 경매, 온라인 결제 게이트웨이, 정부 기관 등이 포함되었습니다.
불가리아의 유니크레딧 불뱅크(Unicredit Bulbank)는 최근 새로운 악성 피싱 공격에 대해 고객들에게 경고했습니다. 불뱅크 온라인 시스템의 세션이 차단되었다는 내용의 전자 메시지가 은행 고객에게 발송되었으며, 계좌 영구 정지 및 차단을 피하기 위해 해당 메시지에 포함된 링크를 클릭하도록 요청했습니다. 이러한 메시지는 은행에서 보낸 것이 아니며, 개인 정보를 도용하기 위한 것입니다. 유니크레딧 불뱅크는 고객들에게 링크를 클릭하지 말고 사용자 이름과 비밀번호를 입력하지 말 것을 당부했습니다. 이미 해당 링크를 클릭했다면 불뱅크 웹사이트에 접속하여 즉시 비밀번호를 변경하시기 바랍니다.
피싱은 신뢰할 수 있는 기관으로 위장하여 전자 통신에서 사용자 이름, 비밀번호, 신용카드 정보와 같은 민감한 정보를 획득하려는 수법입니다. 일반적으로 이메일이나 인스턴트 메시징을 통해 수행됩니다. 피싱 URL의 주요 국가 또는 발신지는 루마니아(18.8%), 미국(14.6%), 중국(11.3%), 한국(9.8%), 영국(7.2%)입니다. IBM 조사에 따르면 피싱 이메일의 발신지를 추적한 결과, 인도가 15.5%로 가장 많았고, 러시아(10.4%), 브라질(7.6%), 미국(7.5%), 우크라이나(6.3%)가 뒤를 이었습니다. IBM은 피싱 발신 국가 4개국이 여전히 압도적인 우위를 점하고 있지만, 연간 순위에서는 상대적인 순위가 약간 변동했으며, 우크라이나는 2010년 “상위 10대” 피싱 목록에 “신규 진입”했습니다.
보안 업체 트러스티어(Trusteer)는 스마트폰 사용자가 PC 사용자보다 이메일 피싱 사기에 더 취약하다고 주장합니다. 최근 트러스티어는 피싱 웹사이트 호스팅 서버에서 접속에 사용된 기기 수와 종류에 대한 데이터를 확보했습니다. 트러스티어는 수신자에게 사기성 웹사이트를 알리는 이메일이 발송되면 스마트폰 사용자가 가장 먼저 방문하는 경우가 많다고 밝혔습니다.
미국 컴퓨터 비상 대응팀(US-CERT)에 따르면, 가장 인기 있는 온라인 결제 서비스 중 하나인 페이팔(Paypal) 역시 정교한 피싱 공격을 받았습니다. 뱅크 오브 아메리카(Bank of America), 로이드(Lloyds), TSB를 표적으로 삼는 이 공격은 HTML 첨부 파일의 형태로 전송되며, 합법적인 이메일이라고 주장하는 원치 않는 이메일이 포함되어 있습니다. US-CERT는 사용자들이 온라인, 특히 개인 정보 유출에 각별히 주의할 것을 권고합니다. 원치 않는 이메일의 링크와 첨부 파일을 열지 말고, 해당 기관에 연락하거나 공식 웹사이트를 통해서만 직접 로그인하여 이메일이 진짜인지 확인해야 합니다.
컴퓨터 사용자가 온라인 안전 조치를 실천하는 동안, 기업은 네트워크와 고객 정보를 보호하기 위해 강력한 인터넷 보안 이니셔티브를 구현해야 합니다. 여기에는 보안 침해를 방지하기 위해 고도로 훈련된 정보 보안 전문가를 고용하는 것도 포함됩니다. 정보 보안 전문가는 고도로 기술적이고 진보된 교육 프로그램에 참여하여 정보 보안 지식과 역량을 향상시킬 수 있습니다. EC-Council은 고도로 기술적으로 숙련된 정보 보안 전문가의 부족 문제를 해결하기 위해 고급 보안 교육 센터(CAST)를 설립했습니다.
CAST는 고급 침투 테스트, 디지털 모바일 포렌식 교육, 애플리케이션 보안, 고급 네트워크 방어, 암호화 등의 주제를 다루는 고급 기술 보안 교육을 제공합니다. 이러한 고도로 기술적이고 진보된 정보 보안 교육은 EC-Council이 주최하는 모든 컨퍼런스 및 행사, 그리고 특별히 선정된 EC-Council 공인 교육 센터를 통해 제공됩니다.