비즈니스 이메일 침해(BEC)

비즈니스 이메일 침해(BEC)는 공격자가 기업을 타깃으로 삼아 속이는 가짜 이메일 기반의 사이버 사기 범죄입니다. 비즈니스 이메일 침해는 전 세계 모든 산업 분야, 모든 규모의 조직을 대상으로 하는 대규모 문제입니다. BEC 사기로 인해 조직은 수십억 달러의 잠재적 손실에 노출되었습니다.

이메일 계정 침해(EAC) 또는 이메일 계정 탈취는 클라우드 기반 인프라 시대에 가속화되고 있는 관련 위협입니다. EAC는 종종 BEC와 연관되어 있습니다. 이는 EAC가 다른 종류의 사이버 공격 기반이기도 하지만 점점 더 많은 침해된 계정이 BEC와 유사한 사기에 사용되기 때문입니다.

특히 전통적인 도구, 단일 제품, 기본 클라우드 플랫폼 방어 기능으로는 BEC와 EAC 탐지 및 예방이 어렵습니다.

FBI는 BEC 사기를 5가지 주요 유형으로 정의합니다.

• CEO 사기: 일반적으로 공격자는 자신을 회사의 CEO 또는 임원으로 사칭하여 재무 부서 내의 개인에게 가짜 이메일을 보내 공격자가 관리하는 계정으로 자금을 이체하도록 요청합니다.
• 계정 침해: 직원의 이메일 계정이 해킹되어 공급업체에 대금 지급을 요청하는 데 사용됩니다. 그런 다음 공격자가 소유한 사기 은행 계좌로 대금이 송금됩니다.
• 허위 인보이스 사기: 공격자는 일반적으로 이 수법을 사용해 외국 공급업체를 타깃으로 삼습니다. 사기꾼은 자신이 공급업체인 것처럼 행동하여 사기 계좌로 자금 이체를 요청합니다.
• 변호사 사칭: 공격자가 변호사 또는 법적 대리인을 사칭하는 경우입니다. 이러한 유형의 공격은 요청의 타당성에 대해 의문을 제기할 지식이 없는 하위 직원을 대상으로 합니다.
• 데이터 도난: 이러한 유형의 공격은 일반적으로 인사과 직원을 대상으로 하며 CEO 및 임원의 개인 정보 또는 민감한 정보를 얻으려 시도합니다. 해당 데이터는 CEO 사기와 같은 향후 공격에 활용될 수 있습니다.

BEC 사기에서 공격자는 일반적으로 수신자가 신뢰해야 하는 사람(일반적으로 동료, 상사 또는 공급업체)을 사칭합니다. 공격자는 수신자에게 은행 송금, 급여 전환, 향후 결제를 위한 은행 정보 변경 등을 요청합니다.

BEC 공격은 표준 사이버 방어로 분석할 수 있는 멀웨어나 악성 URL을 사용하지 않기 때문에 탐지하기 어렵습니다. 대신 BEC 공격은 사칭 및 기타 사회 공학 기술을 사용해 공격자를 대신하여 상호 작용하는 사람들을 속입니다.

타깃화된 공격 특성과 사회 공학 사용 때문에 이러한 공격을 수동으로 조사하고 해결하는 것은 어렵고 시간이 많이 소요됩니다.

BEC 사기는 도메인 스푸핑, 유사 도메인 등 다양한 사칭 기술을 사용합니다. 도메인 오용은 복잡하기 때문에 이러한 공격에 효과적입니다. 도메인 스푸핑을 차단하는 것만으로도 충분히 어려운데, 모든 잠재적인 유사 도메인을 예측하는 것은 훨씬 더 어렵습니다. 그리고 사용자의 신뢰를 악용하여 BEC 공격에 사용될 수 있는 외부 파트너의 모든 도메인들로 인해 그 어려움은 배가됩니다.

EAC에서 공격자는 합법적인 이메일 계정을 제어하여 유사한 BEC 공격을 시작할 수 있습니다. 그러나 이러한 경우 공격자는 단순히 누군가를 사칭하지 않고 실제 그 공격자가 됩니다.

BEC와 EAC는 기술적 취약성보다는 사람의 취약성에 초점을 맞추기 때문에 광범위한 BEC 및 EAC 기술을 예방, 탐지, 대응할 수 있는 사람 중심의 방어가 필요합니다.

1단계 – 이메일 목록 타깃팅

공격자는 먼저 타깃 이메일 목록을 작성합니다. 일반적인 전술에는 링크드인 프로필 추출, 비즈니스 이메일 데이터베이스 탐색, 연락처 정보 검색을 위한 여러 웹사이트 탐색 등이 있습니다.

2단계 – 공격 개시

공격자는 대량 이메일을 발송하여 BEC 공격을 시작합니다. 공격자는 스푸핑, 유사 도메인, 가짜 이메일 이름 등의 수법을 사용하기 때문에 이 단계에서는 악의적인 의도를 식별하기 어렵습니다.

3단계 – 사회 공학

이 단계에서 공격자는 CEO나 재무 부서의 다른 직원 등 같은 회사 내 개인을 사칭합니다. 긴급한 응답을 요청하는 이메일을 보내는 것이 일반적입니다.

4단계 – 금전적 이득

이 단계에서 공격자가 개인과의 신뢰를 성공적으로 구축한다면 일반적으로 금전적 이득이나 데이터 침해가 발생합니다.

BEC와 EAC는 다층적 방어가 필요한 복잡한 문제입니다. 다음과 같은 방법으로 이러한 악용을 효과적으로 막을 수 있습니다.

• 광범위한 BEC/EAC 수법을 차단합니다.
• 기업 내 환경과 클라우드 환경 모두에서 악성 활동 및 사용자 행동에 대한 가시성을 확보합니다.
• 탐지 및 위협 대응을 자동화합니다.

효과적인 BEC/EAC 방어는 공격자가 악용하는 모든 채널을 보호합니다. 채널에는 회사 이메일, 개인 웹메일, 비즈니스 파트너의 이메일, 클라우드 앱, 웹 도메인, 웹 행동 및 사용자 고유의 행동 등이 해당합니다.

BEC와 EAC는 본의 아니게 자각하지 못하는 피해자에게 의존하는 경향이 있기 때문에 공격 가시성, 이메일 보호 및 사용자 인식 모두가 효과적인 방어에 중요합니다.

이메일이 실제와 다를 수 있음을 나타내는 다음 징후를 찾도록 사용자를 교육하세요.

• 비정상적인 정보를 요구하는 고위 경영진: 개별 직원에 대한 W2 및 세금 정보를 검토하고 싶어 하는 CEO가 실제로 몇 명이나 될까요? 대부분의 경우 최고 경영진이 보낸 이메일에 즉시 응답하겠지만 이메일 요청이 타당한지 잠시 생각해 보는 것이 좋습니다. CFO는 집계된 보상 데이터나 특별 보고서를 요청할 수 있지만 개별 직원 데이터를 요청할 가능성은 낮습니다.
• 다른 사람에게 알리지 말라는 요청: 사칭 이메일은 수신자에게 요청을 기밀로 유지하도록 요청하거나 이메일을 통해서만 보낸 사람과만 통신하도록 요청하는 경우가 많습니다.
• 일반 채널을 우회하는 요청: 대부분의 조직에는 요청이 아무리 긴급한 요청이더라도 청구서 및 결제를 거쳐야 하는 회계 시스템이 있습니다. 예를 들어 긴급한 송금이 최대한 빨리 완료되도록 요청하는 경영진의 이메일이 이렇게 채널 우회를 원하는 경우 수신자는 의심해 보아야 합니다.
• 언어 문제 및 비정상적인 날짜 표기 양식: 일부 사기 이메일은 문법이 완벽하고 일부 CEO는 이메일을 서투른 영어로 작성합니다. 그러나 유럽식 날짜 표기 양식(일 월 연도) 또는 이메일이 원어민이 아닌 사람이 작성했음을 암시하는 문장 구성이 존재하는 것은 이러한 공격에서 흔히 발견됩니다.
• 발신자 주소와 일치하지 않는 이메일 도메인 및 “회신” 주소: BEC 이메일은 수신자가 주의를 기울이지 않으면 놓치기 쉬운 변형된 사용자 및 유사 발신자 주소를 사용하는 경우가 많습니다. (예를 들어 yourcompany.com 대신 yourc0mpany.com)

강력한 이메일 보안, 도메인 인증, 계정 보호, 콘텐츠 검사 및 사용자 인식이 총체적으로 함께 적용되어야 합니다.

다음은 BEC 및 EAC 사기와 점점 더 일반화되는 공격으로부터 조직을 안전하게 보호하기 위한 몇 가지 팁입니다.

• 의심하세요. 설명을 요청하거나 IT 부서에 이메일을 전달하거나 동료에게 확인하는 것이 중국의 가짜 회사에 수십만 달러를 송금하는 것보다 낫습니다.
• 뭔가 옳지 않다고 느껴진다면 분명 이상한 겁니다. 직원들이 자신의 직감을 믿고 “우리 회사 CEO로부터 실제로 이런 요청을 들을까?” 또는 “이 공급업체는 왜 우리 포털을 통해 인보이스를 제출하지 않을까?”라고 질문하도록 장려하세요.
• 속도를 늦추세요. 공격자들은 하루 중 가장 바쁜 시간대에 공격을 벌이는 경우가 많습니다. 인사 관리자가 이메일을 빠르게 검토하는 경우 잠시 멈춰서 특정 요청이 의심스러운지 숙고할 가능성이 낮기 때문입니다.

가짜 이메일은 사용자가 신뢰하는 사람을 사칭하여 사이버 범죄자에게 돈이나 개인 정보를 전송하도록 속이는 것이 목적입니다. Proofpoint는 모든 공격자의 수법을 이해하고 악성 활동과 사용자 행동에 대한 가시성을 제공하며, 탐지 및 위협 대응을 자동화하는 통합된 종합 솔루션을 제공할 수 있는 유일한 공급업체입니다.