피싱 사기 및 사기성 전자 메일 식별
게시 날짜: 2006년 9월 14일 | 업데이트 날짜: 2008년 10월 15일
피싱은 신용 카드 번호, Windows Live ID, 기타 계정 데이터 및 암호와 같은 중요한 개인 정보를 훔치기 위한 목적의 사기 유형입니다.
다음 수단을 사용한 피싱 사기를 경험한 적이 있을 것입니다.
| • | 동료나 아는 사람이 보낸 것처럼 보이는 전자 메일 메시지
|
| • | 커뮤니티 웹 사이트 |
| • | 자선 기부를 받는다는 가짜 웹 사이트 |
| • | 알아차리지 못할 정도로 약간 다른 웹 주소를 사용해 친근한 사이트인 것처럼 속이는 웹 사이트 |
| • | 인스턴트 메시징 프로그램
|
| • | 휴대폰 또는 기타 모바일 장치 |
피싱 사기에서는 주로 은행이나 신용 카드 회사, 커뮤니티 웹 사이트와 같이 신뢰할 만한 웹 사이트에서 보낸 것처럼 표시된 전자 메일 메시지, 웹 사이트 또는 인스턴트 메시지에 링크를 연결시킵니다.
피싱 사기의 형태는?
피싱 전자 메일 메시지는 다양한 형태로 전송됩니다. 은행이나 금융 기관, Microsoft와 같이 정기적으로 협력하는 기업, 또는 커뮤니티 웹 사이트에서 보낸 것처럼 보일 수 있습니다.
미국에서 있었던 최근의 은행 합병은 피싱 사기범들에게 새로운 기회가 되었습니다. 자세한 내용은 FTC 소비자 경고: 은행 파산, 합병, 인수: "피싱 사기범들의 호기"를 참고하십시오.
스피어 피싱은 특정 대상을 목표로 감행되는 피싱 사기로 고용주나 인사부 또는 IT 부서의 부장 등이 전 직원에게 보낸 것처럼 보이는 전자 메일 메시지를 사용합니다. 자세한 내용은 스피어 피싱: 특정 대상을 목표로 감행되는 사기를 참조하십시오.
피싱 전자 메일에는 종종 합법적인 웹 사이트의 공식 로고처럼 보이는 로고나 그 외 고유한 정보가 포함되어 있습니다. 또한, 사기범들이 커뮤니티 웹 사이트 상에서 발견한 믿을 만한 개인 세부 정보가 포함되기도 합니다.
이러한 피싱 전자 메일 메시지의 주요 공통점은 개인 데이터를 요구하거나, 웹 사이트 방문 또는 통화를 유도하여 개인 데이터를 요구한다는 것입니다.
다음은 일반적인 피싱 사기 전자 메일 메시지의 한 가지 예입니다.
사기 웹사이트로 연결되는 가짜 웹 주소가 포함된 피싱 전자 메일 메시지의 예.
이러한 피싱 전자 메일 메시지가 훨씬 그럴듯 하게 보이도록 만들기 위해 사기범들은 합법적인 웹 사이트로 연결되는 것처럼 보이는 링크를 메시지에 포함시킵니다. 그러나 이러한 링크는 사실 (1) 사기성 사이트로 연결되거나 (2) 경우에 따라서는 정식 사이트와 똑같이 보이는 팝업 창을 표시합니다.
전자 메일 메시지가 피싱 사기로 의심되는 경우 다음과 같은 구절이 있는지 찾아 보십시오.
"계정을 확인하십시오."
기업은 암호, 로그인 이름, 주민 등록 번호 또는 기타 개인 정보를 전자 메일을 통해 물어보지 않습니다.
Microsoft로부터 신용 카드 정보를 업데이트하라는 내용의 전자 메일 메시지를 받을 경우 무시하십시오. 이 메일 메시지는 피싱 사기입니다. 자세한 내용은 Microsoft 고객에게 신용 카드 정보를 요구하는 사기성 전자 메일을 참조하십시오.
"복권에 당첨되셨습니다."
복권 사기는 선수금 사기로 알려진 일반적인 피싱 사기의 한 유형입니다. 선수금 사기의 가장 일반적인 형태는 큰 금액에 당첨되었다고 전하거나 또는 노력을 거의 들이지 않고 쉽게 큰 돈을 벌 수 있다고 약속하는 메시지입니다. 복권 사기는 종종 Microsoft와 같은 대기업을 인용하기도 합니다. 하지만 Microsoft 복권은 존재하지 않습니다.
"48시간 이내에 회신하지 않을 경우 계정이 해지됩니다."
이러한 메시지는 긴급한 상황이 발생한 듯한 느낌을 주어 메시지를 받은 사람이 생각하지 않고 바로 회신하기 쉽습니다. 심지어는 계정이 손상되었을 수 있으므로 반드시 회신해야 한다고 주장하기도 합니다.
피싱 웹 사이트나 링크는 어떤 형태로 나타납니까?
가짜, 모방 웹 사이트를 스푸핑 웹 사이트라고 합니다. 이러한 사이트는 공식 사이트와 유사하게 디자인되며 공식 사이트의 그래픽이나 글꼴을 사용하기도 합니다. 심지어 사용자들에게 익숙한 공식 사이트와 매우 유사한 웹 주소를 사용기도 합니다. 자세한 내용은 오타의 위험성을 참조하십시오.
이러한 스푸핑된 사이트를 방문하면 자신도 모르는 사이에 사기범에게 개인 정보를 보낼 수 있습니다. 이러한 사이트에서 로그인 이름, 암호 또는 기타 중요한 정보를 입력하면 범죄자가 이 정보를 이용하여 개인 정보를 도용할 수 있습니다.
다음은 피싱 웹 사이트로 이동하는 전자 메일 메시지에서 볼 수 있는 문구의 예입니다.
"아래 링크를 클릭하면 계정으로 연결됩니다."
HTML 형식의 메시지는 웹 사이트에서와 마찬가지 방식으로 작성하는 링크나 양식을 포함할 수 있습니다.
전자 메일 메시지, 웹 사이트, 인스턴트 메시지에서 클릭하도록 되어 있는 피싱 링크에는 실제 회사 이름의 일부 또는 전체가 포함될 수 있는데 이들은 대부분 위장되어 있습니다. 다시 말해, 실제 이 링크는 표시된 주소가 아닌 다른 주소, 대개 사기성 웹 사이트로 연결됩니다.
다음 예와 같이 마우스 포인터를 (클릭하지 않고) 링크 위에 놓으면 노란색 배경의 상자에 표시된 것처럼 실제 웹 주소가 나타납니다. 암호화된 숫자의 문자열은 해당 기업의 웹 주소가 아니므로 의심스러운 신호입니다.
위장된 웹 주소의 예
사기범들은 글자를 추가 또는 생략하거나 바꾸는 방법으로 유명 회사의 이름을 약간만 변경하여 그 회사의 이름처럼 보이는 웹 주소를 사용하기도 합니다. 예를 들어 "www.microsoft.com"이라는 주소를 다음과 같이 변경하는 것입니다.
www.micosoft.com
www.mircosoft.com
www.verify-microsoft.com
피싱 사기는 어떻게 방지할 수 있습니까?
운영 체제를 최신 상태로 유지하고 최신 안티바이러스 및 안티스파이웨어 소프트웨어를 설치하십시오.
피싱 사기를 비롯한 악의 있는 사용자 또는 소프트웨어를 방어하는 첫 단계는 컴퓨터를 보호하는 것입니다.
일부 피싱 전자 메일은 악의적인 소프트웨어 또는 동의없이 설치되는 소프트웨어를 설치하여 사용자의 활동을 추적하거나 컴퓨터를 느리게 만듭니다. Windows Live OneCare와 같은 종합적인 컴퓨터 상태 서비스 및 최신 안티바이러스 소프트웨어를 사용해 보십시오. 스파이웨어나 다른 원치 않는 소프트웨어를 차단하려면 Windows Defender를 사용하십시오. Windows Defender는 Windows Vista에 포함되어 있으며 Windows XP SP2의 경우 무료로 제공됩니다.
자세한 내용은 컴퓨터를 보호하는 4단계를 참조하십시오.
컴퓨터를 보호하기 위한 다음 단계는 사회 공학 기법을 구별하는 방법을 학습하는 것이며, Windows Vista를 사용하면 이러한 구별이 더욱 쉬워집니다.
Internet Explorer 7 및 Microsoft 피싱 필터
Windows Vista를 사용하지 않는 경우에도 Internet Explorer 7을 사용하는 것이 좋습니다. Internet Explorer 7에 포함된 Microsoft 피싱 필터는 알려진 피싱 웹 사이트가 있을 경우 경고를 보내거나 차단하여 웹 사기와 개인 정보 도난 위험으로부터 사용자를 보호합니다. 자세한 내용은 피싱 필터를 구하는 방법을 참조하십시오.
Internet Explorer 7을 사용하는 경우 EV(Extended Validation) SSL 인증서를 사용하는 사이트 방문 시 이를 확인할 수 있습니다. Internet Explorer 주소 표시줄이 녹색으로 바뀌어 웹 사이트에 대한 추가 정보가 있다는 표시가 나타납니다. 웹 사이트 소유자의 신원도 주소 표시줄에 나타납니다.
EV SSL 인증서가 있으면 웹 사이트와의 통신이 안전하다는 것을 확신할 수 있을 뿐만 아니라, SSL 인증서를 발급한 CA(인증 기관)에 의해 확인된 웹 사이트 소유자에 대한 정보도 볼 수 있습니다. 자세한 내용은 Internet Explorer와 EV(Extended Validation) SSL 인증서를 참조하십시오.
Internet Explorer 7 다운로드
