벤더 이메일 손상의 분석
큰 지급금을 요구하는 느린 템포의 공격
비즈니스 이메일 손상(BEC) 공격의 진화
피싱 사기는 스피어 피싱 대상 직원부터 더 큰 지불금에 대한 대가로 소액의 수수료를 요구하는 보다 일반적인 선불 수수료 사기에 이르기까지 전 세계 조직을 오랫동안 괴롭혀 왔습니다.
최근, 새로운 기법인 벤더 이메일 손상(VEC)으로 인해 사기로부터 사용자를 보호하려는 비즈니스의 역할이 더 커졌습니다.
비즈니스 이메일 손상(BEC) 공격과 마찬가지로 VEC는 신뢰할 수 있는 제3자를 가장하고 합법적인 것으로 보이지만, 악의적인 이메일을 대상에 보내는 방식으로 작동합니다. 기존의 BEC 공격은 일반적으로 조직 내의 신뢰할 수 있는 개인으로부터 온 것이라고 주장하지만, VEC는 한 단계 더 나아가 벤더(또는 기타 신뢰할 수 있는 제3자)를 가장하여 대상이 사기성 청구서를 결제하거나 중요한 데이터를 공개하거나 기업 네트워크 및 시스템에 대한 액세스 권한을 부여하도록 속입니다.
최근의 한 설문조사에 따르면 설문조사에 참여한 기업의 98%가 공급망에서 발생한 사이버 보안 침해로 인해 부정적인 영향을 받았습니다. 그리고 조직에서 치르는 비용은 심각합니다. 어떤 공격에서 도요다 그룹의 한 제조업체는 악의적인 제3자의 사기성 지급 지시에 따라 3,700만 달러 이상을 지급했습니다. 전반적으로, FBI는 BEC 공격(VEC가 하위 집합임)으로 지난 5년 동안 총 430억 달러의 손실이 발생했다고 보고합니다.
VEC는 개인화된 특성을 보이므로 악의적인 요청을 식별하는 것은 숙련된 보안 전문가라도 아주 어려울 수 있습니다. 그리고 이러한 공격은 부분적으로 원격 근무 및 클라우드 기반 이메일 시스템으로의 글로벌 전환으로 인해 점점 더 보편화되고 있으며, 이러한 시스템에는 피싱 방지 보안 기능이 기본 설정되거나 활성화되어 있지 않을 수 있습니다.
이처럼 진화하는 피싱 기술보다 앞서 나가려면 의심스러운 이메일 확장자 및 URL 변경을 감지하고 플래그 지정하며, 도메인 이름을 검증하고, 타사 요청을 엄격하게 검사하도록 설계된 다각적인 이메일 보안 전략이 필요합니다.
VEC의 작동 방식
"금융 공급망 손상"이라고도 하는 벤더 이메일 손상은 표준 BEC 공격보다 본질적으로 더 정교하고 표적화되어 있으며, 이는 반드시 개인에게 맞춤화할 필요가 없습니다.
BEC 공격에서 공격자는 조직 내의 특정 개인(종종 CEO 또는 권한이 있는 사람)을 가장합니다. 그런 다음 해당 개인의 요청을 조직 내의 여러 대상에게 보냅니다.
예를 들어 공격자는 회사의 CEO라고 주장하면서 직원에게 일반적인 지급 요청을 보낼 수 있습니다. 요청이 합법적인 것으로 들릴 수 있지만, 직원이 실제 CEO에게 직접 요청을 확인하면 비교적 쉽게 거짓임이 드러날 수 있습니다.
반대로 VEC를 수행하려면 일반적으로 진행 중인 프로젝트 세부 정보, 예산 데이터, 금융 거래 일정 등 기존 비즈니스 관계를 더 잘 알고 있어야 합니다. 이러한 조사 프로세스에는 몇 주에서 몇 달이 걸릴 수 있지만, 대상이 공격을 식별하고 지급을 중지하는 데 훨씬 더 오랜 시간이 걸릴 수 있으므로 공격자가 얻을 수 있는 잠재적 보상은 보다 일반화된 공격 방법보다 훨씬 큽니다.
공격자는 공격 대상에게 자신의 지시를 따르도록 설득할 경우 가짜 청구서에 대한 결제 요청, 청구 계정 세부 정보 변조, 대상 조직에 대한 중요한 정보 수집 등 악의적인 작업을 추가로 수행할 수 있습니다.
위의 다이어그램에는 공격자가 사기성 결제 요청을 수행하기 위해 벤더의 이메일 계정에 침투하는 VEC 공격 순서가 나와있습니다.
VEC가 현실 세계에서 작동하는 방식
FBI에서는 최근 일련의 공격에서 공격자가 연평균 매출이 1.9조 달러에 달하는 미국 기반의 건설회사를 사칭하고 있음을 발견했습니다. 공격자는 미국 최고의 건설회사를 조사하고 회사의 클라이언트 기반에 대한 공개된 데이터와 개인 데이터를 수집했습니다.
그런 다음 공격자는 도메인 스푸핑을 사용하여 대상 조직과 사기성 통신을 시작할 수 있는 이메일 계정을 만들고 종종 은행 계좌 세부 정보 변경을 요청했습니다. 공격자는 이메일 메시지, 청구서 요청, 각 대상에 대한 직접 계좌 입금 변경(이미 수집한 데이터를 기반으로 함)을 맞춤화하는 VEC 전술을 사용하여 이 회사를 속여 "수십만 달러에서 수백만 달러"를 빼냈습니다.
FBI는 피해 측에서 공격이 수행되었다는 것을 알아 차리기까지 "며칠 또는 몇 주"가 걸린 경우가 많았다고 지적했습니다. 그리고 자금 회수 옵션은 제한적이었습니다. 어느 학군에서 실수로 가짜 건설 회사에 840,000달러를 송금했는데, 사기당한 자금 중 $ 5,000만 회수할 수 있었습니다.
VEC 시도 식별 방법
대부분의 첨단 피싱 공격과 마찬가지로 VEC도 감지하기 어렵습니다. 공격자는 평판이 좋은 벤더의 도메인을 스푸핑하거나 합법성을 "증명"하기 위해 공개 정보가 아닐 수 있는 세부 정보를 제공하는 등 메시지를 실제처럼 보이게 하기 위해 여러 공격 방법을 조합하여 사용하는 경우가 많습니다.
VEC 공격이 일반적으로 감지를 회피할 수 있는 데는 세 가지 주요 이유가 있습니다.
초기에 공급자 또는 벤더에서 손상되었음을 인지하지 못합니다.
캠페인은 장기간에 걸쳐 여러 이메일 스레드에서 이루어지며, 대부분의 메시지는 해롭지 않고 악의적인 페이로드가 없습니다.
행동을 유도(예: 반복 송장 지불)하는 방식은 정상적이고 긴급하지 않은 것처럼 들리도록 설계되었으므로 의심스러운 것으로 보이지 않습니다.
VEC를 방지하려면 조직에서는 수신 이메일을 확인하고 사기 행위를 완화하는 데 도움이 되는 보안 파트너를 필요로 합니다. VEC를 방지하기 위한 몇 가지 유용한 전략은 다음과 같습니다.
피싱 시도를 식별하고 차단하도록 이메일 설정을 구성.엄격한 보안 프로토콜을 사용하여 악의적 이메일 메시지를 검사하고 플래그를 지정.
발신자 정책 프레임워크(SPF), 도메인 키 식별 메일(DKIM), 도메인 기반 메시지 인증 보고 및 적합성(DMARC) 등 이메일 인증 프로토콜을 사용하여 이메일 스푸핑을 방지
침입 감지 시스템(IDS) 규칙을 사용하여 의심스러운 URL에 플래그를 지정
다단계 인증(MFA)을 사용하여 타사 액세스 및 계정 수준 변경(예: 비밀번호 재설정) 요청을 확인
타사 트랜잭션 요청을 조사.자금 이체 요청을 승인하기 전에 적절한 당사자와 모든 트랜잭션 정보 및 계정 세부 정보를 확인.또한 기존 벤더가 은행 정보를 수정한 경우 공식적인 검토 및 승인 프로세스를 통합.
새로운 사기 방식에 대해 직원을 교육.피싱 기술은 완화를 피하기 위해 지속적으로 발전하고 있습니다.공격이 성공할 가능성을 낮추기 위해 이메일 위협의 일반적인 징후에 대해 직원을 정기적으로 교육합니다.
이메일 기반 공격을 식별하기 위해 조직에서 개발한 완화 방법 및 내부 프로세스를 적용합니다.
도메인 이름의 오타, 실제 URL의 변형이 포함된 하이퍼링크(예: "RealCo.com", "RealCompany.com"대신) 등의 일반적인 피싱 요소를 이메일에서 검토하도록 사용자에게 교육합니다.
직원들이 이메일 위생을 잘 실천하도록 장려. 개인 또는 금융 정보에 대한 원치 않거나 긴급한 이메일 요청에 응답하지 않습니다.
Cloudflare로 VEC 감지 및 방지
Cloudflare 이메일 보안은 표적화된 장기적 벤더 이메일 손상 시도를 비롯한 광범위한 공격으로부터 보호합니다.웹 크롤링, 패턴 분석, 고급 감지 기술의 조합을 통해 인터넷에서 공격자 인프라를 검색하고, 메시지를 분석하여 의심스러운 요소를 식별하며, 피싱 이메일이 받은 편지함에 도달하지 못하도록 차단합니다.
이같은 첨단 이메일 보호는 하루 평균 ~24710억 건의 사이버 위협을 차단하는 Cloudflare의 전역 네트워크를 기반으로 하며, 표적 피싱 공격 및 기타 사이버 위협을 보다 효과적으로 필터링할 수 있는 고유한 위협 인텔리전스 데이터를 조직에 제공합니다. 또한 Cloudflare Zero Trust 플랫폼의 일부로서 Cloudflare 이메일 보안은 원격 사용자와 사무실 사용자 모두에게 지속적이고 포괄적인 보안을 제공하는 데 도움이 됩니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
VEC 공격이 조직에 침투하는 방법
VEC 공격의 경고 신호
정교한 피싱 사기를 식별하고 차단하기 위한 전략