KDB Card는 언제나 고객 곁에 있습니다.
신종 인터넷 금융사기(Phishing) 주의 요망 |
|---|
|
최근 '피싱'으로 인한 신용카드 및 은행계좌 정보유출 등으로 인터넷 금융서비스 이용자의 피해가 확산되고 있는 바, 금융서비스를 이용하는 고객님의 각별한 주의가 필요되고 있습니다. 1. 피싱(Phishing)이란? 주로 위장된(Spoofed) 메일주소, 웹페이지를 통하여 사용자의 계정, 패스워드, 주민등록번호, 카드번호 등을 수집하는 기법을 말하며, 기법 자체는 특별한 기술이 필요하지 않으나 직접적으로 범죄에 악용될 수 있고 불특정 다수의 일반 사용자를 대상으로 하고 있습니다. 미국 등에서 이미 Citibank, eBay, U.S.Bank, Paypal, AOL, VISA등을 사칭한 피싱 사건이 발생하였으며 꾸준한 증가 추세에 있으며 현재 피싱 기법은 영어권에서 최초로 발생하여 국내 피해는 크게 발생하지 않았지만 기법이 매우 쉽기 때문에 국내에서 발생할 경우에도 큰 피해를 낳을 수 있습니다. 2. 피싱 기법 특별한 보안취약점, 공격 코드 등을 사용하는 것이 아닌 특정 은행, 사이트의 E-mail 주소를 위장(Spoofed)하거나 이와 비슷한 E-mail 주소, URL을 사용하여 사용자를 속이게 합니다. 즉, support@verify-visa.org 라는 메일주소를 사용하여 비자 카드에 대한 이벤트 정보나 확인 정보를 담은 내용의 메일을 무작위 사용자에게 보내어 이에 속은 사용자가 답신을 주게 되거나 의도된 웹사이트(URL 역시 비슷한 가짜를 사용하여 실제 사이트와 구별이 힘들게 구성)에 접속하여 사용자의 아이디(ID), 비밀번호(Password), 카드번호 등을 입력하게 하는 기법입니다. 특히 최근에는 인터넷 익스플로러 주소창, 상태창 등에 나오게 되는 주소(URL)를 더 정교히 속이기 위해 보안취약점을 같이 사용하는 사례가 있어 사용자의 주의가 소홀할 경우 대부분 속게 됩니다. (1) E-mail주소 피싱은 스팸처럼 무작위 사용자에게 발송되는 것이 대부분입니다. 이때 스팸과 다른 점은 사용자 개인 정보 수집 목적이라는 점도 있지만 발신자의 주소를 속이거나 비슷한 메일주소를 사용하여 부주의한 사용자의 경우 쉽게 속게 됩니다. 메일 발송시 사용되는 SMTP 프로토콜 자체가 갖고 있는 발신자(MAIL FROM 헤더)와 회신인의 주소가 동일하지 않을 수 있는 점을 이용하여, 발신자의 메일주소를 속이고 메일을 회신 받는 주소는 발신인과 다른 회신인(Return-Path헤더)을 사용합니다. 이러한 경우 사용자는 발신자만을 확인할 경우 쉽게 속을 수 있습니다. 발신자를 속이지 않더라도 도용 대상의 비슷한 도메인을 소유할 경우-예를 들어 verify-visa.org는 실제 VISA사와는 전혀 무관한 도메인이다-역시 일반 사용자는 쉽게 속을 수 있습니다. (2) 웹사이트 직접적으로 E-mail을 통해 개인 정보를 요청하여 이를 회신메일로 받아내는 피싱 기법이 있지만 이보다 더 사용자가 쉽게 속을 수 있는 방식은 이벤트, 신원확인 메일 등을 가장하여 위장된 웹사이트에 접속하게 하는 방식이 최근 피싱의 대부분입니다. 3. 피싱(Phishing)메일 대처 방법 1. 수신된 이메일(E-Mail)에 링크되어 있는 홈페이지를 가급적 방문하지 말고 발송자의 이메일을 다시 한번 확인합니다. 2. 이메일을 통한 개인 신상정보 및 금융정보 등을 요구하는 경우에는 해당 금융회사에 직접 전화를 걸거나 홈페이지에 접속하여 확인합니다. 3.바이러스 백신 등 보안프로그램을 설치하고 주기적으로 업데이트 합니다. |