2018.08.09

'뻔하지만 잘 낚이는' 이메일 피싱 수법과 대응 방안

Hannah Williams | Computerworld UK
누구든 피싱의 피해자가 될 수 있다. 여기서 소개하는 6가지 방법은 받은 이메일이 정확한지를 확인하는 데 도움이 된다.



이메일은 해커와 사이버범죄자에게 효과 좋은 관문이다. 특히 피싱과 같은 소셜 엔지니어링 공격에 유용하다. 키프넷 랩(Keepnet Labs)의 2017년 연구에 따르면, 피싱 메일이 30%에서 48.2%로 크게 증가했다.

악성코드와 랜섬웨어 같은 보안 문제는 이메일을 통해 자주 전달되므로 실제 조직의 안전에 영향을 끼치는 것은 사용자가 잘 인지하지 못하는 위반이다. 키프넷 랩에 따르면 피싱 공격은 기본적인 인간의 자연스러운 반응을 목표로 하기 때문에 성공하는 경향이 있다. 이는 이메일이 인기 있는 브랜드 및 조직에서 보낸 것처럼 보이도록 위장되어 있기 때문이다. 하지만 무언가 잘못됐을 때 이를 파악할 방법이 있다.

다음은 피싱 이메일을 탐지하는 몇 가지 팁이다.

1. 잘못된 철자와 잘못된 문법
이메일의 구조는 종종 피싱 이메일인지 여부를 파악하는 첫 번째 방법이다. 글쓰기 스타일은 원본 발신인이 작성한 방법과 조금 다르게 나타날 수 있다. 조직과 브랜드 마케팅 담당자는 의사소통을 진지하게 생각하는 경향이 있으며 발송 전에 맞춤법 검사를 하는 경우가 많다. 따라서 이메일에 철자 오류와 문법 오류가 있다면 해당 발신자가 보낸 메일이 아닐 수 있다.

2. 이상한 URL
피싱 메일에는 로그인 세부 정보를 요구하는 사이트로 연결되는 링크가 포함될 가능성이 있다. 그러면 공격자가 계정 세부 정보를 도용할 수 있다. URL은 유효하지만 로그인과 관련이 있는 것처럼 보이기 때문에 간과되는 경우가 많고, PC에서 이메일을 확인하는 경우 실제 하이퍼링크를 볼 수 있는 링크 위로 마우스를 가져갈 수 있다. 어딘가 URL이 어색하다면 클릭하지 않는 것이 안전하다.

도메인 이름에서 발신인 주소를 확인하고 도메인 주소가 일반적으로 이전에 조직에서 받은 합법적인 이메일을 나타내는지를 확인하라.

3. 개인정보
이메일 서두에 당신의 이름이 나오지 않고 '친애하는 고객님'으로 시작한다면, 그것 자체로 해당 메일이 그곳에서 보낸 것이 아닐 수도 있다. 파일에 당신의 개인 정보를 저장해 두는 조직이라면, 이메일 주소를 지정할 가능성이 높다.

또한 은행은 이메일로 개인정보를 요구하지 않는다. 이러한 방식으로 당신의 계좌 정보를 달라고도 하지 않는다. 만약 이메일로 개인정보를 요구했다면 피싱 이메일로 볼 수 있다.

4. 긴급 조치 요청
'긴급 조치'가 필요한 이메일은 사기범이 개인 데이터에 접근하기 위해 링크를 클릭하도록 사용자를 속일 가능성이 높기 때문에 피싱 사기가 빈번하게 발생한다. 이 사실을 알리는 이메일을 받으면 계정이 폐쇄되거나 차단될 수 있다는 위협으로 조처를 하기 전에 해당 조직에 직접 전화하는 것이 가장 좋다. 대개 경우, 급한 용건이 있다면 당신에게 전화해 달라고 할 것이다.

5. 놀랄 만큼 궁금한 내용
대개 피싱 이메일은 놀랄 만큼 궁금한 내용으로 작성되어 두렵거나 들뜬 상태로 링크를 클릭하도록 사용자를 속인다. 그들은 당신이 상금이나 일종의 할인을 받았다고 수도 있고, 때로는 당신의 계좌가 사기 사건과 연루됐다고 말할 수도 있다. 이 모든 것은 사람들에게 공황 상태를 일으킬 수 있다. 이럴 때는 링크를 클릭하기보다는 회사의 웹사이트를 방문해 직접 로그인하면 정확한 정보가 있을 수 있다. 개인 정보를 공유해야 하는 조치를 취하기 전에 발신자부터 확인하는 것이 좋다.

6. 이미 희생자가 됐다면, 어떻게 해야 할까?
흔히 피싱 메일은 발견하기가 어렵기 때문에 많은 사람과 조직이 이미 피해자가 됐을 가능성이 높다. 그러나 추가 사기를 피하고자 취할 수 있는 조치가 있다. 당신이 희생자라는 사실을 알고 있거나 당신이 받은 이메일에서 온 것 같으면 범죄로 보고 이를 알리는 것이 좋다.

이러한 유형의 문제는 액션 프라우드(Action Fraud) 웹사이트의 온라인 양식을 통해 수상한 통신으로 보고될 수 있다. 또한 정부 웹 사이트에서 피싱 사기의 경우 어떻게 해야 하는지에 대한 자세한 정보가 있다. ciokr@idg.co.kr
 
2018.08.09

'뻔하지만 잘 낚이는' 이메일 피싱 수법과 대응 방안

Hannah Williams | Computerworld UK
누구든 피싱의 피해자가 될 수 있다. 여기서 소개하는 6가지 방법은 받은 이메일이 정확한지를 확인하는 데 도움이 된다.



이메일은 해커와 사이버범죄자에게 효과 좋은 관문이다. 특히 피싱과 같은 소셜 엔지니어링 공격에 유용하다. 키프넷 랩(Keepnet Labs)의 2017년 연구에 따르면, 피싱 메일이 30%에서 48.2%로 크게 증가했다.

악성코드와 랜섬웨어 같은 보안 문제는 이메일을 통해 자주 전달되므로 실제 조직의 안전에 영향을 끼치는 것은 사용자가 잘 인지하지 못하는 위반이다. 키프넷 랩에 따르면 피싱 공격은 기본적인 인간의 자연스러운 반응을 목표로 하기 때문에 성공하는 경향이 있다. 이는 이메일이 인기 있는 브랜드 및 조직에서 보낸 것처럼 보이도록 위장되어 있기 때문이다. 하지만 무언가 잘못됐을 때 이를 파악할 방법이 있다.

다음은 피싱 이메일을 탐지하는 몇 가지 팁이다.

1. 잘못된 철자와 잘못된 문법
이메일의 구조는 종종 피싱 이메일인지 여부를 파악하는 첫 번째 방법이다. 글쓰기 스타일은 원본 발신인이 작성한 방법과 조금 다르게 나타날 수 있다. 조직과 브랜드 마케팅 담당자는 의사소통을 진지하게 생각하는 경향이 있으며 발송 전에 맞춤법 검사를 하는 경우가 많다. 따라서 이메일에 철자 오류와 문법 오류가 있다면 해당 발신자가 보낸 메일이 아닐 수 있다.

2. 이상한 URL
피싱 메일에는 로그인 세부 정보를 요구하는 사이트로 연결되는 링크가 포함될 가능성이 있다. 그러면 공격자가 계정 세부 정보를 도용할 수 있다. URL은 유효하지만 로그인과 관련이 있는 것처럼 보이기 때문에 간과되는 경우가 많고, PC에서 이메일을 확인하는 경우 실제 하이퍼링크를 볼 수 있는 링크 위로 마우스를 가져갈 수 있다. 어딘가 URL이 어색하다면 클릭하지 않는 것이 안전하다.

도메인 이름에서 발신인 주소를 확인하고 도메인 주소가 일반적으로 이전에 조직에서 받은 합법적인 이메일을 나타내는지를 확인하라.

3. 개인정보
이메일 서두에 당신의 이름이 나오지 않고 '친애하는 고객님'으로 시작한다면, 그것 자체로 해당 메일이 그곳에서 보낸 것이 아닐 수도 있다. 파일에 당신의 개인 정보를 저장해 두는 조직이라면, 이메일 주소를 지정할 가능성이 높다.

또한 은행은 이메일로 개인정보를 요구하지 않는다. 이러한 방식으로 당신의 계좌 정보를 달라고도 하지 않는다. 만약 이메일로 개인정보를 요구했다면 피싱 이메일로 볼 수 있다.

4. 긴급 조치 요청
'긴급 조치'가 필요한 이메일은 사기범이 개인 데이터에 접근하기 위해 링크를 클릭하도록 사용자를 속일 가능성이 높기 때문에 피싱 사기가 빈번하게 발생한다. 이 사실을 알리는 이메일을 받으면 계정이 폐쇄되거나 차단될 수 있다는 위협으로 조처를 하기 전에 해당 조직에 직접 전화하는 것이 가장 좋다. 대개 경우, 급한 용건이 있다면 당신에게 전화해 달라고 할 것이다.

5. 놀랄 만큼 궁금한 내용
대개 피싱 이메일은 놀랄 만큼 궁금한 내용으로 작성되어 두렵거나 들뜬 상태로 링크를 클릭하도록 사용자를 속인다. 그들은 당신이 상금이나 일종의 할인을 받았다고 수도 있고, 때로는 당신의 계좌가 사기 사건과 연루됐다고 말할 수도 있다. 이 모든 것은 사람들에게 공황 상태를 일으킬 수 있다. 이럴 때는 링크를 클릭하기보다는 회사의 웹사이트를 방문해 직접 로그인하면 정확한 정보가 있을 수 있다. 개인 정보를 공유해야 하는 조치를 취하기 전에 발신자부터 확인하는 것이 좋다.

6. 이미 희생자가 됐다면, 어떻게 해야 할까?
흔히 피싱 메일은 발견하기가 어렵기 때문에 많은 사람과 조직이 이미 피해자가 됐을 가능성이 높다. 그러나 추가 사기를 피하고자 취할 수 있는 조치가 있다. 당신이 희생자라는 사실을 알고 있거나 당신이 받은 이메일에서 온 것 같으면 범죄로 보고 이를 알리는 것이 좋다.

이러한 유형의 문제는 액션 프라우드(Action Fraud) 웹사이트의 온라인 양식을 통해 수상한 통신으로 보고될 수 있다. 또한 정부 웹 사이트에서 피싱 사기의 경우 어떻게 해야 하는지에 대한 자세한 정보가 있다. ciokr@idg.co.kr
 
X