paint-brush
역사상 가장 창의적인 사이버 사기 TOP 3~에 의해@zacamos
519 판독값
519 판독값

역사상 가장 창의적인 사이버 사기 TOP 3

~에 의해 Zac Amos4m2024/06/12
Read on Terminal Reader

너무 오래; 읽다

Dyre Banking 사기, WPP Deepfake 사기, 중소기업을 대상으로 한 오해의 소지가 있는 사기 광고는 역사상 가장 창의적인 사이버 사기 중 일부입니다. 동일한 공격의 희생양이 되지 않도록 작동 방식은 다음과 같습니다.
featured image - 역사상 가장 창의적인 사이버 사기 TOP 3
Zac Amos HackerNoon profile picture
0-item

잘 알려진 사이버 보안 문제는 공격이 점점 더 창의적이 되어 온라인 보안 전문가에게 도전이 되고 결과적으로 전례 없는 규모의 공격을 자주 보게 된다는 것입니다. 어떤 사례가 가장 한계를 뛰어넘었나요?

1. Dyre 은행 사기

해커들은 가장 수익성이 높은 부문을 표적으로 삼는 것을 좋아하므로 은행이 사이버 공격에 자주 등장하는 것은 놀라운 일이 아닙니다. 이들은 위협을 받고 있는 기업이거나 소비자가 은행 기관에서 보낸 것으로 보이는 이메일을 받은 후 특정 조치를 취하도록 유도하려는 대상입니다.


2014년에 처음 발견된 은행 관련 사기는 피해자의 브라우저를 손상시키고 금융 기관의 플랫폼 및 기타 보안 인터페이스에 로그인하기 위한 자격 증명을 훔치는 Dyre 악성 코드를 사용했습니다. 사기는 누군가가 미지급 청구서가 포함된 것으로 추정되는 이메일 첨부 파일을 받았을 때 시작되었습니다. 또한 첨부 파일에는 수신자의 Adobe Reader 소프트웨어에 있는 패치되지 않은 취약점을 악용하도록 설계된 악성 코드가 포함되어 있었습니다.


이러한 측면은 사이버 범죄자를 대신하여 창의적인 사고를 보여주었습니다. 첫째, 그들은 송장에 대한 모호하지만 관련성 있게 들리는 첨부 파일 이름이 사람들의 관심을 끌 것이라는 것을 알았습니다. 생활이 너무 바빠질 수 있기 때문에 누군가는 때때로 돈을 지불하는 것을 잊어버릴 수도 있습니다. 파일 이름의 철자 오류는 이 사이버 공격의 특징이지만 범죄자들은 아마도 사람들이 눈치채거나 신경 쓰지 않기를 바랐을 것입니다.


또한 사기꾼은 공격 대상이 Adobe 소프트웨어를 충분히 자주 업데이트하지 않아 진취적인 해커가 접근할 수 있는 잠재적인 진입점이 많아질 것이라고 당연히 추측했습니다. 누군가가 속임수에 빠져 첨부 파일을 다운로드하면 악성 코드는 자신을 복사하여 겉보기에 무해한 "Google 업데이트 서비스"를 그 사람의 컴퓨터에 만들었습니다. 그런 다음 레지스트리 키를 설정하고 키 입력 데이터를 해커에게 보내기 전에 기록하기 시작했습니다.


2016년 현재 미국 정부 당국은 모든 주요 바이러스 백신 소프트웨어가 말했다 공급업체의 제품이 이러한 위협을 감지했습니다. 그러나 탐지를 위해서는 사람들이 이러한 도구를 정기적으로 사용하고 업데이트해야 합니다.


은행 직원들은 엄격한 조치를 취하고 있습니다. 사기 방지를 위한 고객 파악 절차 위험 프로필을 설정합니다. 이는 의심할 여지 없이 필요한 것이지만, 이 사기는 고객이 악성 코드에 빠지면 상황이 얼마나 쉽게 잘못될 수 있는지를 보여줍니다.

2. WPP 딥페이크 사기

기술이 발전함에 따라 이를 악용하는 사이버 범죄자의 창의성도 향상되었습니다. 인공지능(AI)은 너무나 믿을만해졌기 때문에 소비자들은 정교한 딥페이크 때문에 보고 듣는 모든 것을 반드시 신뢰할 수는 없다는 사실을 배워야 했습니다.


영국의 다국적 광고 및 홍보 회사인 WPP의 CEO인 Mark Read에게는 상황이 가장 중요하게 다가왔습니다. 해당 임원은 최근 다양한 플랫폼과 미디어 유형을 활용한 딥페이크 사기에 대해 자세히 설명했습니다.


해커들이 어떻게 새로운 WhatsApp 계정을 설정하고 공개적으로 사용 가능한 그의 이미지를 프로필 사진으로 사용했는지 설명했습니다. 그들은 Read를 사용하고 있다고 생각하는 다른 고위 임원과 Microsoft Teams에서 회의를 예약하는 데 이를 사용했습니다.


회의 중에 사이버 범죄자들은 음성 복제와 Read의 YouTube 영상을 배포하는 동시에 Microsoft Teams 채팅 창에서 상호 작용하여 리더처럼 보이고, 들리고, 읽는 자료로 다른 참석자를 속였습니다. 목표는 대행사 책임자에게 새로운 사업을 시작하도록 설득하는 것이었고, 그 후 사기꾼은 이들로부터 재정 및 개인 정보를 얻는 것이었습니다.


이 사기는 실패했으며 읽기가 귀속되었습니다. 그 결과 그의 회사는 경계하게 되었다 , 해커의 희망대로 응답하지 않은 표적 임원의 경우도 포함됩니다. CEO는 누군가의 이메일 받은 편지함을 넘어서는 속임수를 포함하여 점점 더 정교해지는 속임수에 대해 모든 사람이 어떻게 경계해야 하는지 지적했습니다.


일부 기술 전문가들은 블록체인이 사람들의 목소리 특성을 확보하고 악의적인 당사자의 변조 방지 인증된 클립으로. 그러나 유명인의 목소리가 텔레비전, 라디오, YouTube, 심지어 오디오북에도 나오기 때문에 동기를 부여받은 사이버 범죄자는 사용할 수 있는 데이터가 많습니다.

3. 중소기업을 겨냥한 오해의 소지가 있는 AI 광고

어떤 회사나 사람도 사이버 사기로부터 완전히 안전할 수는 없지만, 성공적으로 조직된 공격의 영향은 다른 피해자보다 일부 피해자에게 더 큰 재앙을 안겨줍니다. 중소기업은 완전하고 신속하게 복구할 수 있는 리소스가 부족한 경우가 많기 때문에 훌륭한 예입니다.


그러나 2023년 연구에 따르면 중소기업의 73%가 사이버 공격을 경험했습니다. , 데이터 침해 또는 전년도의 데이터 위반. 2024년 보고서에서는 사이버 공격이 발견되었습니다. 60%가 가장 큰 우려사항으로 꼽았습니다. 이는 설문조사에 참여한 사람들이 위협의 심각성을 이해하고 있음을 시사합니다.


불행하게도 사기꾼은 중소기업 소유자가 훌륭한 표적이며 새로운 기술로 작업 흐름을 개선하려는 피해자의 욕구를 잡아먹을 수 있다는 것을 알고 있습니다. Google 경영진의 관심을 끌었고 사기꾼을 대상으로 회사 소송을 제기한 중소기업을 대상으로 한 사기 사건이 그러한 경우였습니다.


전술은 현재 Gemini로 알려진 대규모 언어 모델인 Google Bard를 중심으로 이루어졌습니다. 기술 회사의 첫 번째 소송은 소셜 미디어 프로필과 중소기업 소유주가 Bard를 다운로드하도록 장려하는 광고를 만든 악의적인 행위자를 상대로 한 것이었습니다.


그러나 Google은 사람들이 사용하기 위해 무엇이든 다운로드하도록 요구하지 않았습니다. 대신 이 도구를 기존의 여러 제품에 통합했습니다. 이 사기에 빠진 사람들은 무언가를 다운로드하면 Bard를 사용할 수 있을 것이라고 기대했습니다. 대신 소셜 미디어 프로필을 손상시키는 악성 코드를 제공했습니다.


Google은 2023년 4월부터 11월까지 대략적으로 서류를 제출했습니다. 게시 중단 알림 300개 연결됨 이 사기로. 범죄자들이 유사한 사이트를 설정하고 현재 도메인 등록 기관에 등록된 사이트를 비활성화하는 것을 방지하기 위한 명령을 구했습니다.


이 사기는 Google의 브랜드 인지도와 비즈니스 운영을 더욱 편리하게 하기 위해 새로운 제품을 시도하려는 사람들의 관심을 이용했기 때문에 창의성이 두드러졌습니다.

거짓이 뒤섞인 진실

이러한 창의적인 사이버 사기는 이를 조직하는 사람들이 목표를 달성하기 위해 무슨 일이든 멈추지 않을 것임을 입증합니다. WPP 딥페이크 사례처럼 노력이 성과를 거두지 못하더라도 사람들은 보이는 것과 다른 일이 발생하지 않도록 항상 경계해야 한다는 경고가 됩니다. 결국, 대부분의 온라인 사기에는 진실한 요소와 허위 요소가 혼합되어 있습니다.


Google Bard라는 제품이 있었지만 이를 사용하기 위해 소프트웨어를 다운로드할 필요는 없었습니다. 마크 리드(Mark Read)는 WPP의 CEO이지만 새로운 사업 설립에 관한 회의를 주선하거나 참석한 적이 없습니다. 이러한 사례는 치명적인 결과를 초래할 수 있는 결정을 내리기 전에 조치를 취하고 주장을 확인하기 전에 신중하게 생각하는 것이 중요함을 강조합니다.