당신이 Signal이나 WhatsApp을 사용하는 수십억 명 중 하나라면 경계하십시오. 미국 관리들은 러시아 정보 기관과 연계된 사이버 범죄자들이 현재 메시징 앱에서 대규모 피싱 캠페인을 벌이고 있다고 말합니다. 분명히 전 세계적으로 수천 개의 계정이 이미 손상되었습니다. 연방수사국(Federal Bureau of Investigation)과 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)의 공동 PSA에 따르면 이러한 사이버 공격자는 민감한 정보에 접근할 수 있는 모든 사람을 표적으로 삼고 있습니다. 여기에는 현직 및 전직 정부 관료, 군인, 정치인, 언론인 등이 포함됩니다.
더욱 까다로운 점은 이 피싱 캠페인에는 앱 침입이 포함되지 않는다는 것입니다. 대신, 가해자는 개인의 계정에 접근하기 위해 순수한 속임수 전술을 사용하고 있습니다. 당국은 이 작전을 통해 사이버 범죄자들이 Signal과 같은 암호화된 메시징 앱에서 공식 지원 채널을 사칭하는 것을 확인했다고 밝혔습니다. 그곳에서 피해자는 의심스러운 활동에 대한 경고나 최근의 보안 위협에 대한 메시지 등 완벽하게 합법적인 메시지를 받습니다. 여기에서 메시지는 사용자에게 (은밀하게 악의적인) 링크를 클릭하거나 기밀 확인 코드 또는 PIN을 제공하라는 메시지를 표시합니다.
해당 링크를 클릭하고 정보가 공유되면 가해자는 자신의 장치를 피해자의 계정에 연결하거나 해당 장치를 완전히 제어할 수 있습니다. 이로 인해 수문이 열리고 사이버 범죄자는 개인 메시지를 읽고, 연락처 목록에 액세스하고, 공격 범위를 확장하여 더 많은 피싱 메시지를 다른 사람에게 보낼 수 있습니다.
공격은 보안 결함이 아닌 사람의 실수에 의존합니다.
FBI는 앱 자체가 완벽하게 안전하다는 점을 분명히 밝혔습니다. 이 전체 작전에서 가장 약한 점은 바로 인간적 요소입니다. 이는 미국에서만 일어나는 일이 아닙니다. 네덜란드의 정보 당국자들은 Signal과 WhatsApp 모두에서 정부 직원 및 기타 고부가가치 개인을 표적으로 삼는 유사한 전술을 관찰했습니다. FBI와 마찬가지로 네덜란드 관리들은 공격자들이 자동화된 챗봇이나 지원 인력으로 가장하고 설득력 있는 언어를 사용하여 긴급함을 조성하고 피해자들이 신속하게 대응하도록 압력을 가하고 있다고 설명했습니다.
이는 공격자가 더 많은 사회 공학을 사용하고 기술적 악용을 줄이는 사이버 전술의 광범위한 변화의 일부일 수 있습니다. 사용자가 액세스 자격 증명을 넘겨받도록 조작함으로써 사이버 범죄자는 가장 강력한 암호화 시스템조차 효과적으로 회피할 수 있습니다. 그리고 현재의 공격이 현재로서는 유명 인사만을 표적으로 삼는 것처럼 보이지만, 곧 기업과 일반 사용자를 표적으로 삼는 데 동일한 방법이 사용되는 것을 막을 수 있는 방법은 무엇일까요? 모방범을 언급하는 것도 아닙니다. 이러한 사회 공학 기술이 널리 알려지면 다른 사이버 범죄 그룹이 이를 복제할 가능성이 높습니다.
사이버 보안 위반으로부터 개인 데이터를 안전하게 보호하려면 모든 원치 않는 메시지를 건전한 회의론으로 다루십시오. 언제나 그렇듯 알 수 없는 링크를 클릭하거나 Signal 또는 WhatsApp을 통해 민감한 정보를 공유하지 마세요. 합법적인 지원 서비스에서는 인앱 메시지를 통해 인증 코드나 비밀번호를 요청하지 않습니다.
