오늘 복권에 당첨되었거나 오랫동안 잃어버린 친척으로부터 돈을 상속받았다고 주장하는 또 다른 이메일을 받았다면. 어쩌면 사실이라고 믿기에는 너무 좋은 것 같습니다. 현명하게 의심해 보세요. 피싱 사기일 가능성이 높습니다. 피싱은 사이버 범죄자가 평판이 좋은 회사나 웹사이트에서 보낸 것처럼 보이는 사기성 메시지를 보내 개인 정보를 제공하거나 맬웨어를 다운로드하도록 속이려고 하는 것입니다.
이전에 피싱에 대해 들어본 적이 있을 것입니다. 하지만 사기꾼이 피해자를 속이려고 하는 교활한 방법을 모두 알고 계십니까? 이 문서에서는 사기꾼이 사용하는 다양한 피싱 기술을 살펴보고 이러한 악성 메시지를 더 잘 찾아내고 피할 수 있도록 실제 사례를 제공합니다.
피싱이란 무엇입니까?
피싱은 사기꾼이 이메일이나 악성 웹사이트를 사용하여 비밀번호, 계좌 번호, 신용 카드 번호와 같은 개인 정보를 훔치는 사이버 공격입니다. 사기꾼은 합법적인 회사나 웹사이트로 위장하여 사용자를 속여 중요한 데이터를 제공하도록 합니다.
사기꾼이 귀하의 정보를 입수하면 귀하의 계정에 액세스하거나 귀하의 이름으로 구매하거나 신원 도용을 저지를 수 있습니다. 피싱 사기는 점점 더 교묘해지고 있으므로 경계하는 것이 중요합니다.
피싱 이메일이나 메시지의 일반적인 징후는 다음과 같습니다.
- 신속하게 조치를 취하거나 즉시 정보를 제공하도록 촉구
- 잘못된 문법 또는 철자 오류
- 믿을 수 없는 제안, 거래 또는 보상
- 보낸 사람 주소가 회사명과 일치하지 않는 경우
합법적인 회사는 절대로 이메일을 통해 민감한 데이터를 요청하지 않습니다. 이상한 소리가 들리면 메시지를 삭제하는 것이 가장 좋습니다.
잘 알려진 피싱 기술은 다음과 같습니다.
- 스피어 피싱: 특정 개인이나 기업을 겨냥한 표적 공격입니다. 사기꾼은 신뢰를 얻기 위해 개인 정보를 사용합니다.
- 구타: 고위 임원이나 ‘대물’을 겨냥한 스피어 피싱입니다. 사기꾼은 회사 데이터나 자금을 훔치기 위해 동료나 고객으로 가장합니다.
- 스미싱: 이메일 대신 SMS 문자 메시지를 통한 피싱. 은행, 운송업체, 배송업체에서 계좌번호나 일회용 비밀번호를 얻기 위한 메시지를 보낸 것으로 보입니다.
- 비싱: 전화를 통한 피싱. 사기꾼은 기술 지원, 은행 담당자 또는 정부 기관을 사칭하여 사람들을 속여 계정 액세스를 제공하거나 자금을 이체하도록 합니다.
일반적인 피싱 기법 및 공격 벡터
피셔는 영리한 기술을 사용하여 사용자를 속여 개인 정보를 제공합니다. 다음과 같은 일반적인 피싱 공격 벡터를 경계하세요.
1. 이메일
가장 일반적인 피싱 수법은 합법적인 회사에서 보낸 것처럼 가장하는 사기성 이메일입니다. 이러한 이메일은 계정이나 결제 정보에 문제가 있다고 주장하며 링크를 클릭하거나 첨부 파일을 다운로드하라는 메시지를 표시하는 경우가 많습니다. 원치 않는 이메일의 링크를 클릭하거나 첨부 파일을 다운로드하지 마십시오.
2. 문자 메시지
피싱 문자 메시지 또는 ‘스미싱’은 배송이나 은행 계좌에 문제가 있다고 주장하여 링크를 클릭하거나 전화번호로 전화하도록 유도합니다. 이메일과 마찬가지로 원치 않는 문자 메시지의 링크나 전화번호를 절대 클릭하지 마세요.
3. 전화 통화
“Vishing”은 귀하의 은행, 신용 카드 발급사 또는 기술 제공업체의 대리인으로 가장하는 사기꾼의 전화 통화를 사용합니다. 그들은 귀하의 계정에 사기 행위가 있었다거나 귀하를 속여 귀하의 세부 정보나 계정 액세스 권한을 제공하도록 계정이 손상되었다고 주장할 수 있습니다. 원치 않는 발신자에게 전화를 통해 민감한 데이터나 계정 액세스 권한을 절대 제공하지 마세요.
4. 악성 웹사이트
피싱 사이트는 귀하의 로그인 정보나 계정 정보를 도용하기 위해 합법적인 사이트를 모방하여 만들어진 사기성 웹사이트입니다. 민감한 데이터를 입력하기 전에 URL이 올바른 웹사이트인지, 안전한 HTTPS 연결을 사용하는지 다시 확인하세요.
5. 공용 Wi-Fi 네트워크
공용 네트워크는 피셔가 데이터를 훔치기 위해 네트워크 트래픽을 염탐하는 “중간자” 공격의 주요 장소입니다. 공용 Wi-Fi에서는 개인 정보가 필요한 은행 업무, 쇼핑, 기타 활동을 절대 수행하지 마세요.
실제 피싱 사기 사례
피싱 사기는 형태와 규모가 다양하지만, 주의해야 할 몇 가지 일반적인 실제 사례는 다음과 같습니다.
1. ‘나이지리아 왕자’가 보낸 이메일
이는 나이지리아 왕자나 기타 공무원이 자신의 재산에 접근하는 데 도움이 필요하다는 내용의 이메일을 받고, 귀하가 금전이나 계좌 접근 권한을 제공하면 이를 귀하와 공유한다는 고전적인 사기 수법입니다. 이 이메일을 즉시 삭제하세요.
2. “당신은 상을 받았습니다!”
한 번도 참가한 적이 없는 콘테스트나 복권에 당첨되었다는 흥미로운 메시지를 받습니다. 상품을 받으려면 세금이나 수수료를 미리 지불하면 됩니다. 이에 속지 마십시오. 합법적인 경품 행사에서는 상금을 받기 위해 비용을 요구하지 않습니다.
3. 위조 청구서 또는 청구서
구매한 적이 없는 제품이나 서비스에 대한 청구서 또는 청구서가 포함된 이메일을 받습니다. 사기꾼들은 귀하가 확인하지 않고 돈을 지불하기를 바라고 있습니다. 돈을 보내기 전에 청구서를 보낸 것으로 추정되는 회사에 다시 확인하세요.
4. “귀하의 계정이 손상되었습니다”
인식할 수 없는 장치에서 소셜 미디어, 이메일 또는 기타 계정에 로그인했다고 주장하는 긴급 메시지를 받았습니다. 이 메시지는 귀하의 신원을 확인하고 계정을 다시 보호하기 위해 링크를 클릭하라는 메시지를 표시합니다. 클릭하지 마십시오. 로그인 자격 증명을 도용하려는 사기입니다.
5. 갑작스러운 채용 제의
당신은 일자리를 제안하는 메시지를 받습니다. 대개 높은 급여와 유연한 근무 시간을 제공합니다. 시작하려면 사회보장번호와 같은 개인 정보를 제공하거나 자료나 교육 비용을 선불로 지불하기만 하면 됩니다. 이는 사기입니다. 합법적인 회사는 이런 방식으로 사람을 고용하거나 즉시 민감한 데이터를 요구하지 않습니다.
경계심을 갖고 사기의 징후를 발견하는 방법을 배우면 피해자가 되는 것을 피하는 데 도움이 될 수 있습니다. 어떤 것이 사실이라고 믿기에는 너무 좋아 보인다면 아마도 사실일 가능성이 있다는 점을 기억하십시오. 의심스러우면 본능을 믿으세요.
고래 피싱이란 무엇입니까?
고래피싱 유명 인사, 정치인, 기업 임원 등 세간의 이목을 끄는 피해자를 표적으로 삼습니다. 이러한 “고래”는 민감한 데이터와 대규모 금융 자원에 접근하는 경우가 많기 때문에 피싱 사기의 유리한 표적이 됩니다.
공격자는 공개 소스에서 고래에 대한 개인 정보를 수집하여 맞춤형 피싱 이메일을 만듭니다. 예를 들어, 좀 더 합법적인 것처럼 보이기 위해 대상의 가족 이름을 언급하거나 취미나 관심사를 언급할 수 있습니다. 이러한 고도로 개인화된 피싱 이메일은 수신자가 메시지가 진짜라고 생각하도록 속일 가능성이 더 높습니다.
고래 피싱 기술의 몇 가지 예는 다음과 같습니다.
- 개인 계좌 액세스 또는 전신 송금을 요청하는 대상의 은행, 고문 또는 회계사가 보낸 것으로 보이는 이메일.
- 악성 첨부 파일이나 수신자의 관심 사항에 맞춰진 링크가 포함된 스피어 피싱 이메일을 차단하세요.
- 긴급 자금이나 계좌 접근이 필요한 가족이나 친구를 사칭하는 행위.
- 계정 탈취 또는 스파이웨어 설치를 목표로 개인 또는 업무 계정을 타겟팅합니다.
피싱 공격을 식별하고 방지하는 방법은 무엇입니까?
피싱 공격은 점점 더 정교해지고 있지만 이를 식별하는 데 도움이 되는 몇 가지 눈에 띄는 징후가 있습니다.
1. 의심스러운 발신자
이메일이 귀하가 거래하는 회사에서 보낸 것이라고 주장하지만 보낸 사람의 주소가 이상해 보이는 경우 이는 위험 신호입니다. 합법적인 회사는 이메일 도메인 이름을 자주 변경하지 않습니다. 평판이 좋은 회사를 대신하여 Gmail이나 Yahoo와 같은 무료 이메일 서비스에서 보낸 메시지를 주의하세요. 회사에 직접 전화해서 확인해 보세요.
2. 신속하게 행동하라는 압력
피셔는 메시지의 주장을 확인할 시간이 생기기 전에 조치를 취하기를 원합니다. 링크를 클릭하거나 첨부 파일을 즉시 다운로드해야 한다고 주장하는 메시지는 피싱 시도일 가능성이 높습니다. 합법적인 회사는 보안 조치를 우회하도록 압력을 가하지 않습니다.
3. 링크 및 첨부파일
원치 않는 메시지의 링크를 클릭하거나 첨부 파일을 다운로드하지 마십시오. 메시지가 진짜처럼 보이더라도 피싱 링크는 악성 코드를 설치하거나 개인 정보를 도용할 수 있습니다. 대신 회사의 웹사이트 URL을 브라우저에 수동으로 입력하거나 웹 검색을 통해 공식 웹사이트를 찾으세요.
4. 개인정보 요청
합법적인 회사는 이메일을 통해 비밀번호, 주민등록번호, 은행 계좌 번호와 같은 민감한 데이터를 요구하지 않습니다. 메시지에서 이러한 유형의 정보를 요구하는 경우 피싱 사기일 가능성이 높습니다.
5. 철자 및 문법 오류
항상 그런 것은 아니지만 피싱 이메일에는 철자, 문법 및 구두점 오류가 포함되어 있는 경우가 많습니다. 평판이 좋은 회사에는 일반적으로 오류 없는 커뮤니케이션을 만들기 위해 전문 카피라이터와 편집자가 있습니다. 쓰기 품질이 좋지 않으면 아마추어 피싱 시도를 나타낼 수 있습니다.
고래 피싱으로부터 자신과 조직을 보호하세요
불행하게도 피싱 공격은 점점 더 정교해지고 있습니다. 개인과 조직이 위험을 제거할 수는 없지만 취약성을 줄이기 위해 취할 수 있는 몇 가지 조치가 있습니다.
1. 원치 않는 요청을 의심하세요
원치 않는 전화, 이메일 또는 문자에 응답하여 민감한 정보를 제공하지 마십시오. 합법적인 회사에서는 갑자기 비밀번호, 주민등록번호, 신용카드 번호 등을 요구하지 않습니다. 의심스러운 경우 메시지에 제공된 링크나 전화번호를 클릭하는 대신 회사에 직접 문의하세요.
2. 속도를 늦추고 긴급 상황에 주의하세요
사기꾼은 종종 사람들이 생각하기 전에 빨리 행동하도록 하기 위해 긴박감을 조성하려고 합니다. 응답하거나 클릭하기 전에 한발 물러서서 요청의 논리를 객관적으로 고려하십시오. 회사나 개인이 해당 정보를 요청하거나 즉각적인 조치를 요구하는 것이 합당한지 자문해 보세요.
3. 링크와 철자를 다시 확인하세요.
클릭하기 전에 보낸 사람의 이메일 주소와 메시지의 URL에 약간의 철자 오류나 기타 스푸핑 징후가 있는지 주의 깊게 확인하세요. 악성 링크는 실제 링크와 매우 유사해 보일 수 있습니다. 원치 않는 이메일의 링크를 클릭하는 대신 브라우저에 웹 주소를 수동으로 입력하는 것이 가장 좋습니다.
4. 강력한 비밀번호와 이중 인증을 사용하세요
모든 계정, 특히 이메일, 뱅킹, 소셜 미디어에 강력하고 고유한 비밀번호를 사용하도록 하세요. 추가 보안 계층을 추가하려면 가능할 때마다 2단계 인증을 활성화하세요. 이중 인증은 공격자가 귀하의 비밀번호를 알아내더라도 귀하의 계정에 접근하는 것을 방지합니다.
5. 경계심을 갖고 훈련을 받으십시오.
사이버 범죄자는 항상 새로운 기술을 개발하므로 개인과 조직은 최신 피싱 동향과 모범 사례를 최신 상태로 유지해야 합니다. 모든 직원, 특히 민감한 데이터나 계정에 접근할 수 있는 직원을 대상으로 정기적인 사이버 보안 인식 교육을 제공합니다. 교육과 경계를 통해 우리 모두는 피싱 공격자를 저지하기 위해 최선을 다할 수 있습니다.
결론
자, 이제 피싱 공격이 무엇인지, 그리고 이를 탐지하는 방법을 알게 되었습니다. 사기꾼이 귀하를 속여 중요한 정보를 포기하거나 악성 코드를 다운로드하도록 하지 마십시오. 경계를 늦추지 말고, 클릭하기 전에 생각하고, 자신의 직감을 믿으십시오.
이메일이나 문자에 문제가 있는 것 같다면 아마도 그럴 것입니다. 의심스러운 것은 모두 삭제하고 절대 비밀번호나 계좌번호를 입력하거나 돈을 보내지 마세요. 피싱 사기에 속기에는 귀하는 너무 똑똑합니다. 이 정보를 친구 및 가족과 공유함으로써 다른 사람들을 예방하는 데 도움을 줄 수 있습니다.