EMEA 피싱 패턴: F5 SOC의 통찰력

실제로 낚시(실제 살아있는 물고기를 잡는 것)에 참여하는 사람이라면 타이밍이 중요하다는 사실을 누구나 알고 있습니다. 어떤 종류의 물고기는 더 활동적이어서 아침에 잡힐 가능성이 높고, 어떤 물고기는 저녁에, 또 어떤 물고기는 이른 오후에 잡힐 가능성이 높습니다.

2015년 F5 SOC에서 유럽, 중동, 아프리카(EMEA) 전역의 금융 기관을 대상으로 한 피싱 시도에 대해 수집한 통계를 기반으로 이러한 활동을 수행하는 사람들의 패턴을 해석한다면 디지털 피싱도 다르지 않다는 것이 밝혀졌습니다. 

타이밍이 중요합니다

EMEA에서 피싱 공격을 피하고 싶다면, 주중 어느 때보다 금융 거래를 하기에 가장 좋은 요일은 토요일입니다. 2015년에는 공격의 5%만 발생했고, 그 다음으로는 금요일과 일요일이 가장 많았으며, 이 두 날에 발생한 공격은 12%에 불과했습니다.

월요일의 나쁜 평판은 사실입니다. 월요일에는 다른 요일보다 더 많은 공격이 발생했기 때문입니다(20%). 하지만 나머지 영업일도 그다지 나은 편은 아닙니다. IDC의 조사에 따르면 직장에서 인터넷 접속 시간의 30-40%가 업무와 관련 없는 활동에 소요된다는 점을 고려하면 금융 기관이 주말보다 주중에 평균적으로 더 많은 공격을 받는 것은 놀라운 일이 아닙니다.[1]

대부분의 피싱 공격이 영업 시간 중에 발생한다는 데이터는 이러한 사실을 더욱 뒷받침합니다.

2015년에는 월말이 아닌 월초에 피싱 공격이 발생할 가능성이 200% 더 높았습니다. 피싱 공격은 매월 첫째 주에 가장 많았고 그 이후로는 줄어들었습니다. 예상대로 주중에는 활동이 많고 주말에는 활동이 줄었습니다.

놀랍지 않게도 EMEA 지역의 대부분 고용주는 직원들에게 매월 초나 말에 급여를 지급합니다. F5 SOC 전문가들은 EU 전체에서 온라인 뱅킹을 사용하는 비율이 평균 46%라는 사실[2]과 결합해 직원들이 온라인 뱅킹 시스템에 로그인해 청구서를 지불하거나 급여가 입금되었는지 확인하는 이달 초에 공격이 급격히 증가하는 이유가 될 가능성이 있다고 지적했습니다.

올바른 미끼 선택하기

실제 세계에서 낚시를 할 때 어떤 미끼가 가장 좋은지에 대한 논쟁만큼 논란이 되는 주제는 없습니다. 색상, 크기, 움직임, 그리고 미끼가 '실제' 세계를 얼마나 정확하게 모방하는지가 중요한 요소입니다. 결국, 우리는 우리가 사용하는 미끼가 진짜라고 물고기에게 확신시켜 물고기가 물고기를 낚기를 바라는 것입니다. 디지털 세계에서 금융 데이터를 낚는 피싱범들이 사용하는 미끼와 사이트도 마찬가지입니다.

물고기를 설득하는 데 많은 노력이 필요한 것처럼, 피싱 피해자들도 설득하는 데 많은 노력이 필요합니다. F5 SOC에 따르면, 누군가가 미끼에 속기 전에 사기성 페이지를 평균 9.14번 방문해야 한다는 사실이 밝혀졌습니다.

전문가들은 발견된 사기 사이트를 평가하는 데 많은 시간을 투자하여 피싱 사기꾼과 그들의 수법에 대해 최대한 많은 정보를 수집합니다. 피싱 공격에 사용된 URL을 통해 공격자에 대해 많은 정보를 알아낼 수 있는 것으로 나타났습니다. 2015년에는 사기성 사이트 10개 중 1개가 추가 경로 없이 루트 방향으로 호스팅되는 것으로 나타났습니다(예: www.phishingsite.com 또는 www.phishingsite.com/index.html). 이는 해당 서버가 사기성 사이트를 호스팅하도록 특별히 준비되었음을 나타냅니다. 즉, 이 제품은 피싱 공격을 위해 특별히 구매되었을 가능성이 높습니다. 일반적으로 공격자는 기존 사이트를 해킹하여 악성 콘텐츠를 삽입하기 때문에 이러한 움직임은 웹 애플리케이션 방화벽과 같은 다른 예방 수단으로는 해당 사이트의 설정이 감지되지 않기 때문에 당혹스럽습니다.

2015년에 인기 있는 시스템을 괴롭히는 심각한 취약점이 많이 보고되었다는 점을 감안하면 사기 사이트의 15%가 Word Press 폴더에 호스팅되었다는 것은 놀라운 일이 아닙니다. 패치가 적용되지 않았거나 해결되지 않은 취약점은 악성 코드와 사기성 사이트를 호스팅할 곳을 찾는 사람들에게 쉽게 악용될 수 있습니다.

또한 F5 SOC 전문가들은 URL 경로의 20%가 피해자별로 동적으로 생성되어 기존의 보안 조치로 차단하기 어렵다고 지적합니다. 이는 2015년에 사기 사이트를 제거하거나 폐쇄하는 데 걸린 평균 시간에도 영향을 미쳤습니다.

좋은 소식은 최종 사용자 인증 정보가 도용되었을 때 사기 사이트를 폐쇄하는 데 걸리는 시간이 더 짧다는 것입니다. 나쁜 소식은 많은 사용자가 그동안 보호받지 못하고 잠재적인 위험을 인식하지 못한다는 것입니다.

F5 SOC는 확립과 감지 사이의 시간을 줄이기 위해 공식 도메인과 이름이 비슷한 도메인을 모니터링할 것을 권장합니다. 유사한 이름의 도메인에 호스팅되지 않았더라도 많은 가짜 페이지에는 공격 URL에 공식 문자열이 포함되어 있습니다. 일반적으로 F5 SOC는 이러한 특정 단어를 인터넷에서 검색하는 것을 권장합니다. EMEA에 위치한 금융 기관을 대상으로 하는 피싱 공격은 월요일부터 목요일까지의 영업 시간에 가장 활발하게 이루어지는 경향이 있습니다. 소비자가 신원 정보 도용의 희생자가 되는 것을 방지하려면 시간이 중요하므로 모든 가짜 페이지를 분석하고 가능한 한 빨리 폐쇄하는 것이 중요합니다.

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

F5 사기 방지에 대해 자세히 알아보려면 WebSafe 데이터시트 와 MobileSafe 데이터시트를 참조하세요. F5 보안 운영 센터에 대해 자세히 알아보려면 F5 SOC 데이터시트를 확인하세요.