신종 스미싱 주의
신종 스미싱 주의보가 내려졌다.
2014 FIFA 브라질 월드컵 개막과 함께 월드컵 관련 스미싱은 물론 보안전문가도 구분하기 힘든 '슈퍼노트급' 피싱 사이트가 등장했다.
보안기업 이스트소프트는 브라질 월드컵 개막을 앞두고 이를 이용한 스미싱 공격이 급증할 것으로 예상돼 각별한 주의가 필요하다고 지난 10일 밝혔다.
아직까지 월드컵을 활용한 스미싱 사례는 발견되지 않았지만 13일 개막 직후부터 월드컵 관련 스미싱 공격이 급증할 가능성이 크다고 이스트소프트는 관측했다.
특히 국민의 관심이 집중되는 18일 한국 대표팀의 첫 경기 이후 '영상 다시보기', '경기상황 속보' 등의 문구가 담긴 스미싱 문자가 대거 발견될 것이라는 관측이다.
앞서 2014 소치 동계올림픽 때에는 금메달 기대 종목인 피겨 및 아이스 스케이팅과 관련해 '영상 다시보기', '대국민 응원 보내기' 등 사용자의 관심을 노린 스미싱 공격이 기승을 부렸다.
12일 안랩(대표 권치중)은 일반인이 구별하기 어려운 가짜 사이트를 이용한 신종 스미싱이 등장해 주의를 요구했다.
안랩에 따르면 이 신종 스미싱인 슈퍼노트급 피싱 사이트는 웹사이트 주소(URL)와 디자인, 원문까지 정상 사이트와 매우 유사하게 만들었다.
이 슈퍼노트급 피싱 사이트는 정상 사이트 URL 일부가 들어있으며 디자인과 문구까지 고도화했다. 사람과 컴퓨터를 구분하기 위해 사람만 인지할 수 있는 문자가 포함된 변형 이미지를 보여주고 해당 문자를 입력해야만 다음 단계가 처리되는 '캡차코드(CAPTCHA CODE)'까지 사용한다.
최근 등장한 '경찰청 사이버테러대응센터'로 위장한 피싱 사이트는 서류 접수 확인을 누르면 캡챠코드 입력 화면이 뜨지만 번호를 입력하지 않거나 틀려도 확인만 누르면 악성 앱이 다운된다.
서류 접수 확인 버튼 이외 배너를 누르면 정상적인 경찰청 사이버테러대응센터 사이트로 이동시키는 등의 교묘한 수법으로 이용자 의심을 최소화했다.
초기 스미싱은 사전에 유출된 개인정보와 탈취한 통신사정보, 인증용 문자메시지를 결합해 소액결제를 유도하는 형태였다. 하지만 최근에는 전문가도 단번에 구별하기 어려운 수준의 고도화된 스미싱 수법으로 공인인증서, ID·비밀번호, 통신사 정보, 문자메시지 등 금융거래와 결제에 필요한 모든 정보를 한번에 탈취한다. 주소록 정보까지도 유출해 스미싱 수신자를 기하급수적으로 늘리는 대형 보안사고의 시작점으로 변했다.
전문가들은 스미싱 피해를 최소화하려면 △문자 메시지나 소셜네트워크에 포함된 URL 실행 자제 △모바일 백신으로 스마트폰 주기적 검사 △시스템 설정에서 ‘알 수 없는 출처[소스]’ 허용 금지 설정 △스미싱 탐지 전용 앱 다운로드 등이 필요하다고 조언한다.
신종 스미싱 주의 소식에 네티즌들은 "신종 스미싱 주의, 진짜 사기도 가지가지다" "신종 스미싱 주의, 무섭다" "신종 스미싱 주의, 이래서 어디 마음놓고 세상 살겠나" 등의 반응을 보였다.