피싱
위키백과 ― 우리 모두의 백과사전.
컴퓨팅에서, 피싱(영어: phishing, carding 카딩, spoofing 스푸핑)은, 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호 및 신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’이란 용어는 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다.
피싱 사고에 대한 신고가 늘어감에 따라, 피싱을 막으려는 방법들이 필요하게 되었다. 이런 방법들에는 법, 사용자 교육, 그리고 기술적인 도구들이 있다.
목차 |
[편집] 피싱 특징
- 메일을 이용해서 신뢰할 수 있는 메일 주소를 가장합니다. 피싱 사기의 메일은 대부분 송신자(발신인, From)를 사칭 하고 있습니다. 예를 들어 Citibank의 사이트를 속이는 수법이 실제로 있었습니다. 이 경우는 「info@citi.com」와 같이 정당한 메일 주소로 가장해서 보내져 온다는 것입니다.
- 신용카드 번호나 패스워드 입력을 요구한다. 「피셔(피싱 사기꾼)」의 최종 목적입니다. 이러한 정보를 안이하게 입력해서는 절대로 안됩니다.
- 백신 소프트웨어에 검출되지 않습니다. 피싱 사기의 경우 아무런 특색도 없는 단순한 메일형태로 첨부파일등이 없는 HTML 메일로서 URL을 숨길 수 있기 때문입니다. 첨부파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별됩니다.
- Web 사이트를 만드는 기술 이외는 특별한 기술은 아무것도 필요습니다. 피싱 사기를 하는 방법으로 Web 사이트를 만들고 메일을 보냅니다. 기술이라고 해봤자 Web 사이트를 작성하는 기술 뿐이기 때문에 누구라도 만들 수 있습니다. 대기업 사이트와 비슷하게 만드는 것도 그리 어렵지 않기 때문에 실제 Web 사이트로 부터 HTML 소스와 사진을 가져올 수 있습니다.
[편집] 피싱 메일을 구별하는 유형
- 유명은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용한다.
- 포털사이트나 쇼핑몰 등을 사칭해 경품당첨안내나 이벤트 참가 등을 유도하며 주민번호, 핸드폰번호 등의 개인정보를 입력하도록 유도한다.
[편집] 피싱 사기의 구체적인 사례의 예
2003녀 11월 17일 미국의 ebay 사이트 에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다"는 메일을 고객들이 수신하여 첨부된 링크를 클릭해 이베이 웹페이로 가서 바로 재등록하라고 친절한 설명되어 있어 의심없이 개인정보와 금융정보를 피셔에게 넘겨주는 피해가 발생했다.
[편집] 피싱사기의 예방법
- 신용할 수 없는 메일의 링크를 클릭하지 않는다.
- 의심스러운 점이 있으면 직접 사이트를 방문한다.
- 메일 헤더를 확인한다.
- 링크의 주소가 IP인지 도메인인지 확인한다. IP일 경우 피싱 사이트일 가능성이 있음.(EX: p://123.123.123.xxx/…, WWW.NAVER.COM)
[편집] 신고
피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰 및 한국정보호호진흥원 ☎(02)-1336 또는 (02)-118에 신고한다.