Phishing

피싱(Phishing)

정의

금융기관 등의 웹사이트나 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌번호 등을 빼내 이를 불법적으로 이용하는

사기수법

피싱 특징

- 메일을 이용해서 신뢰할 수 있는 메일주소를 가장

- 신용카드 번호나 패스워드 입력 요구

- 백신 소프트웨어에 검출되지 않음

- 웹사이트를 만드는 기술이외는 특별한 기술 필요 없음

피싱메일 식별법

- 유명은행, 카드사 사칭, 이들은 계좌번호, 카드번호, 비밀번호등의 확인 또는 갱신을 유도하고, 이에 응하지 않을 경우

거래중지된다는 형태의 자극적 문구 사용

- 포털사이트나 쇼핑몰 위장, 경품담청안내나 이벤트 참가 등을 미끼로 주민등록번호, 휴대전화번호 등의 개인정보 입력 유도

-URL에 사용되는 특수한 서식을 이용하여, 마치 진짜 도메인에 링크되어 있는 것처럼 유도

피싱 피해 방지 대책

- 신원 불명확한 첨부파일 삭제 및 최신 업데이트 바이러스 백신 설치

- 금융기관에서 개인정보, 계좌번호 등의 업데이트를 요구하는 이메일을 확인하지 않고, 해당 금융사이트에서 직접 확인

- 은행, 신용카드, 현금카드 등의 내역을 정기적으로 확인

- 보안 패치 최신 버전 유지

- 의심스러운 웹사이트를 통해 온라인 거래는 지양

- 피싱이 의심되는 메일을 받았을 경우 해당 은행, 카드사 및 한국정보보호진흥원등에 신고

최근 피싱 현황

- 악성코드를 이용해 사용자의 PC를 미리 해킹함으로써 이용자가 올바른 은행 사이트 주소를 입력하더라도 가짜 사이트에

접속하도록 하는 파밍기법 사용, 진보된 피싱 기법인 파밍은 URL 주소나 웹페이지 모두 기존의 사이트와 똑같기 때문에

전문적인 소스분석을 하지 않으면 진위 여부 확인 어려움

- 미 정부기관 사칭한 스팸메일 급증, 스팸메일에 악성 파일 첨부하여 트로이 목마를 컴퓨터에 설치 원격 접근 가능 상태 노출

- 피싱이나 악성코드 유포등 범죄에 악용될 수 있는 유해 웹사이트가 4만개 이상