악의적인 행위자의 관점에서 보면 피싱은 조직 및 개인 정보에 침투하여 수익을 창출할 수 있는 가장 저렴하고 쉬운 방법입니다.인간은 천성적으로 호기심이 많고 보안에 대해 과신하는 경향이 있습니다.피싱은 모바일 사용자에게도 훨씬 더 큰 위협입니다.링크 위로 마우스를 가져가 목적지를 확인할 수 있는 기능과 같은 중요한 시각적 단서가 없으면 사용자는 잘못된 링크를 클릭하여 피싱 시도의 피해자가 되는 단순한 실수를 저지르기가 훨씬 쉬워집니다.또한 소셜 미디어의 인기로 인해 해커는 유효한 이메일 주소를 찾고 사용자의 생활 활동을 조사하여 정교하고 맞춤화된 피싱 공격을 만들기가 훨씬 쉬워졌습니다.보안 관점에서 피싱 문제를 해결하는 방법에는 일반적으로 이메일 보안 게이트웨이, 웹 프록시, 보안 교육 인식 등 세 가지가 있지만 각각 고유한 한계가 있습니다.
이메일 보안 게이트웨이는 들어오는 모든 이메일을 살펴보고 스팸 및 평판에 대한 정보를 제공합니다.하지만 실제로 클릭이 발생하면 크라우드소싱을 통해 획득한 웹 사이트에 대한 사전 지식이 기본 방어 수단이므로 '인내심 없는 문제'가 발생합니다.즉, 웹사이트 등급에 관한 평결이 나올 때까지 처음 몇 명의 사용자는 잠재적 악의적인 웹 사이트에 접속할 수 있습니다.
반면에 웹 프록시는 HTTP에 대해 알아야 할 거의 모든 것을 알고 있지만 이메일에 대해서는 전혀 모릅니다.더 중요한 것은 사용자가 브라우저의 URL 표시줄에 입력하는 것과는 대조적으로 이메일 클릭으로 인한 웹 사이트 방문의 중요한 컨텍스트가 없다는 것입니다.보안 인식 교육은 위험을 완화하는 데 도움이 될 수 있지만 실제 피싱 이메일 링크를 클릭하면 사용자를 교육하는 데 사용되는 소프트웨어가 거의 불가능하기 때문에 교육만으로는 충분하지 않습니다.
악의적인 공격자들은 시간을 들여 웹사이트를 '좋은' 웹사이트로 분류하여 이러한 방어 수단을 모두 우회하는 경우가 많습니다.간단히 말해, 피싱은 모든 사람을 위험에 빠뜨리는 소셜 엔지니어링 문제입니다.다행스럽게도 이 문제를 쉽게 해결할 수 있는 방법은 조직에 안전한 허용 옵션을 제공하는 격리 전략으로 전환하는 것입니다.기업들이 여전히 웹사이트가 '좋은지' '나쁜' 웹사이트인지 알아내려 하기 때문에 해커들이 매우 창의적으로 변했습니다. 하지만 격리 상태로 전환한 후 중요한 것은 액세스 여부뿐입니다.
격리 서비스를 이용할 수 없더라도 피싱에 대응할 수 있는 방법은 여러 가지가 있습니다.첫 번째는 간단한 이메일 위생을 실천하는 것입니다.무료 보상, 바우처 또는 소셜 미디어 게시물을 언급하는 이메일은 무시하고 삭제하는 것이 항상 최선의 정책입니다.또 다른 방법은 항상 출처를 직접 찾아가는 것입니다.사용자는 이메일에 포함된 링크를 따라가는 대신 URL 표시줄에서 직접 방문하려는 웹 사이트에 액세스해야 합니다.마지막으로, 별도의 새 계정을 만들어 공개 인증 프로그램을 사용하지 않는 것이 좋습니다. 심지어 가짜 이메일 주소를 사용하여 이러한 계정에 가입하는 경우에도 피싱 당할 가능성이 적기 때문입니다.이러한 간단한 단계를 따르거나 격리를 채택함으로써 사용자와 조직은 '연결되지 않고' 이메일 피싱 공격의 피해자가 되는 것을 방지할 수 있습니다.
