Trace Id is missing

비즈니스 전자 메일 침해의 급증을 초래하는 전략 변화

다운로드
공유

Cyber Signals 4호: 자신감 게임

FBI(연방수사국)가 27억 달러 이상의 조정 손실액이 있는 21,000건 이상의 불만 사항을 신고하는 등 비즈니스 전자 메일 사기가 지속적으로 증가하고 있습니다. Microsoft는 주거용 IP(인터넷 프로토콜) 주소를 활용하여 공격 캠페인이 로컬에서 생성된 것처럼 보이게 만드는 등 BEC(비즈니스 전자 메일 침해)를 전문으로 하는 위협 행위자의 정교함과 전술이 증가하는 것을 관찰했습니다.

이 새로운 전술은 범죄자들이 CaaS(서비스형 사이버 범죄)로 더 많은 수익을 창출하도록 돕고 있으며 비정상적인 로그인 시도 및 기타 의심스러운 계정 활동을 식별하고 차단하는 데 사용되는 "불가능한 이동" 경고를 사이버 범죄자들이 피할 수 있게 해주기 때문에 연방 법 집행 기관의 관심을 끌었습니다.

우리 모두가 사이버 보안 방어 담당자입니다.
Microsoft의 디지털 범죄 부서에서는 2019년부터 2022년 사이에 비즈니스 전자 메일을 표적으로 하는 서비스형 사이버 범죄가 38% 증가한 것을 관찰했습니다.

BulletProftLink의 산업 스케일링 BEC 서비스 성장 과정

비즈니스 전자 메일 침해를 둘러싼 사이버 범죄 활동이 가속화되고 있습니다. Microsoft는 산업 규모의 악성 메일 캠페인을 만드는 데 널리 사용되는 플랫폼인 BulletProftLink와 같은 플랫폼을 공격자가 사용하는 중요한 추세를 관찰했습니다. BulletProftLink에서는 BEC용 템플릿, 호스팅, 자동화 서비스를 포함한 엔드투엔드 서비스를 판매합니다. 이 CaaS를 사용하는 악의적인 사용자는 피해자의 자격 증명과 IP 주소를 얻게 됩니다.

그런 다음 BEC 위협 행위자는 피해자의 위치와 일치하는 주거용 IP 서비스에서 IP 주소를 구입하여 사이버 범죄자가 자신의 출처를 숨길 수 있는 주거용 IP 프록시를 만듭니다. 이제 BEC 공격자는 사용자 이름과 암호 외에도 악의적인 활동을 지원하기 위해 현지화된 주소 공간으로 무장하여 움직임을 숨기고 "불가능한 이동" 플래그를 우회하며 게이트웨이를 열어 추가 공격을 수행할 수 있습니다. Microsoft는 아시아와 동유럽 국가에서 위협 행위자들이 이 전술을 가장 자주 배포하는 것을 관찰했습니다.

불가능한 이동은 사용자 계정이 손상되었을 수 있음을 나타내는 데 사용되는 탐지입니다. 이러한 경고는 한 위치에서 다른 위치로 이동하는 데 적절한 시간이 걸리지 않고도 두 위치에서 작업이 수행되고 있음을 나타내는 물리적 제한을 나타냅니다.

사이버 범죄 경제  부문의 전문 기술 역량 및 통합에서는 탐지를 회피하기 위해 주거용 IP 주소의 사용이 확대될 수 있습니다. 위치에 대규모로 매핑된 주거용 IP 주소는 사이버 범죄자가 대량의 손상된 자격 증명을 수집하고 계정에 액세스할 수 있는 능력과 기회를 제공합니다. 위협 행위자는 마케팅 담당자와 다른 사람들이 이러한 공격을 확장하기 위한 연구에 사용할 수 있는 IP/프록시 서비스를 사용하고 있습니다. 예를 들어, 한 IP 서비스 공급자는 매초마다 교체되거나 변경될 수 있는 1억 개의 IP 주소를 보유하고 있습니다.
위협 행위자가 Evil Proxy, Naked Pages, Caffeine과 같은 서비스형 피싱을 사용하여 피싱 캠페인을 배포하고 손상된 자격 증명을 얻는 반면, BulletProftLink피싱 및 BEC 사이트를 호스트하기 위한 인터넷 컴퓨터 퍼블릭 블록체인 노드를 포함하는 분산형 게이트웨이 설계를 제공하여 파괴하기 훨씬 더 어려운 더욱 정교한 분산형 웹 서비스를 만듭니다. 퍼블릭 블록체인의 복잡성과 발전하는 성장 전반에 이러한 사이트의 인프라를 분산시키면 사이트를 식별하고 제거 조치를 조정하는 것이 더욱 복잡해집니다. 피싱 링크를 제거할 수는 있지만 콘텐츠는 온라인 상태로 유지되며 사이버 범죄자가 다시 돌아와 기존 CaaS 콘텐츠에 대한 새 링크를 만들 수 있습니다.

성공적인 BEC 공격으로 인해 조직에서는 매년 수억 달러의 비용을 지출하게 됩니다. 2022년 FBI의 Recovery Asset Team은 잠재적 손실액이 5억 9천만 달러 이상인 국내 거래와 관련된 2,838건의 BEC 불만 사항에 대해 금융 사기 킬 체인을 시작했습니다.

금전적 영향은 상당하지만 더 광범위한 장기적인 피해에는 PII(개인 식별 정보)가 손상된 경우의 신분 도용 또는 민감한 서신이나 지적 재산이 악의적인 전자 메일 및 메시지 트래픽에 노출된 경우의 기밀 데이터의 손실을 포함할 수 있습니다.

유형별 피싱 메일

비즈니스 전자 메일 침해 공격에 사용되는 다양한 유형의 피싱 전자 메일의 비율 분석을 보여 주는 원형 차트입니다. 미끼가 62.35%로 가장 일반적인 유형이고 급여(14.87%), 청구서(8.29%), 기프트 카드(4.87%), 비즈니스 정보(4.4%), 기타(5.22%)가 그 뒤를 따릅니다.
데이터는 2023년 1월부터 2023년 4월까지 유형별 BEC 피싱의 스냅샷을 나타냅니다.  전체 보고서의 4페이지에서 이 이미지에 대해 자세히 알아보기

BEC의 주요 대상은 사회 보장 번호, 세금 명세서 또는 기타 PII와 같은 직원 기록에 액세스할 수 있는 임원 및 기타 고위 리더, 재무 관리자, 인사 담당자입니다. 익숙하지 않은 전자 메일 요청을 확인할 가능성이 적은 신입 직원도 대상이 됩니다. 거의 모든 형태의 BEC 공격이 증가하고 있습니다. 대상 지정된 BEC의 주요 추세에는 미끼, 급여, 청구서, 기프트 카드, 비즈니스 정보가 포함됩니다.

BEC 공격은 소셜 엔지니어링과 속임수 기술에 중점을 둔 것으로 사이버 범죄 산업에서 두각을 나타내고 있습니다. BEC 운영자는 패치되지 않은 디바이스의 취약성을 이용하는 대신 전자 메일 트래픽 및 기타 메시지를 이용하여 피해자가 금융 정보를 제공하도록 유인하거나 범죄자가 사기성 자금 이체를 수행하도록 하는 머니뮬 계정으로 무의식적으로 자금을 보내는 것과 같은 직접적인 조치를 취하려고 합니다.

강제적인 갈취 메시지를 특징으로 하는 "시끄러운" 랜섬웨어 공격과 달리 BEC 운영자는 이러한 유형의 긴급 요청에 주의가 산만해지거나 익숙할 수신자를 자극하는 작위적인 기한 및 긴급함을 이용하여 조용한 자신감 게임을 합니다. 새로운 맬웨어 대신 BEC 악의적인 사용자는 악성 메시지의 스케일링, 타당성, 받은 편지함 성공률을 향상시키는 도구에 초점을 맞추도록 전술을 조정합니다.

주거용 IP 주소를 활용하는 세간의 이목을 끄는 공격이 여러 차례 있었지만 Microsoft는 이러한 추세가 급속히 확대되어 기존 경보나 알림으로 활동을 탐지하기가 더 어려워질 수 있다는 법 집행 기관과 다른 조직의 우려를 공유하고 있습니다.

로그인 위치의 차이는 본질적으로 악의적인 것이 아닙니다. 예를 들어, 사용자는 로컬 Wi-Fi를 통해 노트북으로 비즈니스 애플리케이션에 액세스하는 동시에 셀룰러 네트워크를 통해 스마트폰에서 동일한 업무용 앱에 로그인할 수 있습니다. 이러한 이유로 조직은 위험 허용 범위에 따라 불가능한 이동 플래그 임계값을 조정할 수 있습니다. 그러나 BEC 공격을 위한 지역화된 IP 주소의 산업 규모는 적응형 BEC 및 기타 공격자가 표적 근처의 주소 공간을 통해 악성 메일 및 기타 활동을 라우팅하는 옵션을 점점 더 많이 선택함에 따라 기업에 새로운 위험을 초래합니다.

권장 사항:

  • 받은 편지함을 보호하는 보안 설정 최대화:  기업은 외부에서 보낸 메시지에 플래그를 지정하도록 메일 시스템을 구성할 수 있습니다. 메일 보낸 사람이 확인되지 않을 경우를 위한 알림을 사용합니다. 개별적으로 확인할 수 없는 ID로 보낸 사람을 차단하고 전자 메일 앱에서 메일을 피싱 또는 스팸으로 보고합니다.
  • 강력한 인증 설정:  로그인할 때 암호 외에도 코드, PIN 또는 지문을 요구하는 다단계 인증을 설정하여 전자 메일이 쉽게 침해되지 않도록 예방하세요. MFA 지원 계정은 공격자가 사용하는 주소 공간에 관계없이 손상된 자격 증명 및 무차별 로그인 시도 위험에 더 강합니다.
  • 경고 신호를 발견하도록 직원 교육: 도메인과 전자 메일 주소의 불일치, 성공적인 BEC 공격과 관련된 위험 및 비용과 같은 사기성 전자 메일과 기타 악성 전자 메일을 발견할 수 있도록  직원을 교육 합니다.

비즈니스 전자 메일 침해에 맞선 싸움에는 경계심과 인식이 필요함

위협 행위자가 BEC를 용이하게 하도록 C-Suite 리더, 지급 계정 리드, 기타 특정 역할을 표적으로 하는 피싱 키트 및 검증된 전자 메일 주소 목록을 포함하고 있는 특수 도구를 만들었지만 기업에서는 공격을 사전에 차단하고 위험을 완화하는 방법을 사용할 수 있습니다.

예를 들어, "거부"라는 DMARC(도메인 기반 메시지 인증, 보고 및 적합성) 정책은 스푸핑된 전자 메일에 대해 가장 강력한 보호를 제공하여 인증되지 않은 메시지가 배달되기 전에도 메일 서버에서 거부되도록 합니다. 또한 DMARC 보고서는 조직이 일반적으로 수신하지 않는 정보인 명백한 위조의 출처를 알 수 있도록 메커니즘을 제공합니다.

조직이 완전한 원격 또는 하이브리드 인력을 관리하는 데 몇 년이 걸리더라도 하이브리드 작업 시대의 보안 인식을 재고할 필요가 있습니다. 직원들이 더 많은 공급 업체 및 계약 업체와 협력함으로써 “처음 본” 전자 메일을 더 많이 받게 되므로 이러한 작업 리듬 및 대응 방식의 변화가 공격 표면에 어떤 의미를 갖게 되는지 알아야 합니다.

위협 행위자의 BEC 시도는 전화 통화, 문자 메시지, 전자 메일, 소셜 미디어 메시지 등 다양한 형태를 취할 수 있습니다. 인증 요청 메시지를 스푸핑하고 개인과 회사를 사칭하는 것도 일반적인 전술입니다.

유용한 첫 번째 방어 단계는 결제 방법, 은행 또는 전신 송금과 관련된 변경 요청이나 변경 알림을 받을 때 어떻게 대응해야 하는지에 대한 회계, 내부 통제, 급여 또는 인사 부서의 정책을 강화하는 것입니다. 의심스러울 정도로 사이드라인 정책을 따르지 않는 요청을 무시하거나 합법적인 사이트 및 담당자를 통해 요청 기관에 연락하면 조직이 엄청난 손실을 피할 수 있습니다.

BEC 공격은 임원 및 리더, 재무 직원, 인사 담당자 그리고 사회 보장 번호, 세금 계산서, 연락처 정보, 일정과 같은 직원 기록에 액세스할 수 있는 기타 사람들과 함께 IT, 컴플라이언스, 사이버 위험 담당자가 테이블에서 사이버 위험을 부서간 업무 방식으로 해결해야 하는 이유를 보여 주는 훌륭한 예를 제공합니다.

권장 사항:

  • 안전한 전자 메일 솔루션 사용:  오늘날의 전자 메일 클라우드 플랫폼은 기계 학습과 같은 AI 기능을 사용하여 방어 기능을 강화하고 고급 피싱 보호 및 의심스러운 전달 감지 기능을 추가합니다. 전자 메일 및 생산성을 위한 클라우드 앱은 지속적인 자동 소프트웨어 업데이트와 보안 정책의 중앙 집중식 관리라는 이점도 제공합니다.
  • 수평 이동을 방지하기 위한 ID 보호:  ID 보호는 BEC에 맞서기 위한 핵심 요소입니다.  제로 트러스트  및 자동화된 ID 거버넌스를 통해 앱과 데이터에 대한 액세스를 제어하세요.
  • 안전한 결제 플랫폼 채택:  기존의 전자 메일 방식의 청구서에서 결제를 인증하도록 설계된 시스템으로 전환하세요.
  • 일시 정지를 누르고 전화 통화를 통해 금융 거래 확인:  도난으로 이어질 수 있는 빠른 응답이나 클릭 대신 신속한 전화 통화를 통해 합법적인 내용을 확인하는 것이 훨씬 유용합니다. 재무 및 기타 요청을 다시 확인하려면 의심스러운 메시지에 제공된 정보를 사용하지 않고 조직이나 개인에게 직접 연락하는 것이 중요하다는 점을 직원들에게 상기시키는 정책과 기대치를 설정하세요.

수석 위협 인텔리전스 분석가인  Simeon Kakpovi의 인사이트를 통해 BEC 및  이란 위협 행위자 에 대해 자세히 알아보세요.

스냅샷 데이터는 2022년 4월부터 2023년 4월까지 Microsoft 위협 인텔리전스에서 검색하고 조사한 평균 연간 및 일일 BEC 시도를 나타냅니다. Microsoft의 디지털 범죄 부서가 지시하는 고유한 피싱 URL 제거는 2022년 5월부터 2023년 4월까지입니다1.

  • 연간 3500만
  • 매일 156,000
  • 피싱 URL 제거 417,678건
  1. [1]

    방법론: 스냅샷 데이터의 경우 Office용 Microsoft Defender, Microsoft 위협 인텔리전스, Microsoft DCU(디지털 범죄 부서)를 포함한 Microsoft 플랫폼은 디바이스 취약성에 대한 익명화된 데이터와 위협 행위자 활동 및 추세에 대한 데이터를 제공했습니다. 또한 연구원들은 FBI(연방수사국)의 2022년 인터넷 범죄 보고서 및 CISA(사이버 보안 & 인프라 보안국)와 같은 공개 소스의 데이터를 사용했습니다. 커버 통계는 2019년부터 2022년까지 Microsoft DCU 비즈니스 전자 메일 서비스형 사이버 범죄 계약을 기반으로 합니다. 스냅샷 데이터는 감지되고 조사된 조정된 연간 및 평균 일일 BEC 시도를 나타냅니다.

비즈니스 전자 메일 침해 Cyber Signals ID 보안 피싱

관련 기사

이란 위협 행위자 전문가 Simeon Kakpovi의 인사이트

수석 위협 인텔리전스 분석가인 Simeon Kakpovi가 차세대 사이버 방어 담당자를 교육하고 이란 위협 행위자의 끈질긴 고집을 극복하는 방법에 대해 이야기합니다.
자세한 정보

IoT/OT 디바이스의 고유한 보안 위험

최신 보고서에서는 IoT/OT 연결이 증가함에 따라 조직화된 사이버 위협 행위자가 악용할 수 있는 취약성이 어떻게 더 커지고 심각해지는지 살펴봅니다.
자세한 정보

최신 공격 표면 분석

점점 더 복잡해지는 공격 표면을 관리하기 위해 조직은 광범위한 보안 태세를 구축해야 합니다. 6가지 주요 공격 표면 영역이 포함된 이 보고서는 올바른 위협 인텔리전스가 방어 담당자에게 유리한 판을 만드는 데 어떻게 도움을 주는지 보여 줍니다.
자세한 정보

Microsoft Security 팔로우