[신종사기범죄 피해주의] 스미싱(smishing), 피싱(Phishing), 보이스피싱(voice phishing)

[안현상]

[신종사기범죄 피해주의]

스미싱(smishing),피싱(Phishing),보이스피싱(voice phishing)

스미싱(smishing)

문자메시지를 이용한 새로운 휴대폰 해킹 사기수법이 스미싱(smishing)이다.

휴대폰 사용자에게 웹사이트 링크를 포함하는 문자 메시지를 보내 휴대폰

사용자가 웹사이트에 접속하면 강제로 사기프로그램을 설치토록해 인터넷

사용이 가능한 휴대폰을 통제한 후 금전을 갈취하는 방식이다.

< 기사참조 >

[인터넷 사이트 사칭사기사례]

OOO님, 고객님께서 구매하신 결제대금이

90만원 결제되었습니다. 문의전화 T.789-789

-> 문자를 받고 놀라 전화를 하면, <성명/핸드폰번호/기본인적사항을 묻고

죄송합니다. 잘못 처리된것입니다. 안내하는 웹주소로 들어가 안내에 따라

등록하신 후 취소하시면 됩니다.>라고 한다. 웹주소에서 기본인적사항과

계좌번호를 등을 등록하고 취소하면, 취소되는 것이 아니고 실제로 결제되어

예금이 인출된다.

[금융감독원 사칭사기사례]

OOO님 개인정보유출로 피해가 발생할수있으니 고객님의(1234-1234)계좌를

확인바랍니다.금융감독원모바일 웹주소 www.fss.or.kr

-> 웹주소로 가면 일정한 절차에 따라 기본인적사항과 계죄번호를

입력하면 역시 예금을 강제로 인출해 간다.

[OO은행 사칭사기 사례]

(긴급안내) OOO고객님, 믿음으로 함께하는 OO은행입니다.

고객님의 (1234-1234)계좌의 개인정보유출을 위한 보안강화를 위해

고객안심서비스에 등록해주십시오.(또는 보안강화를 위해 공인인증서

발급필요하다고안내) www.OOO.com

-> 역시 이에 응하면 동일하게 예금을 강제로 인출해 간다.

☞ 웹사이트는 실제 금융감독원,거래하는 시중은행 사이트처럼 가장된 유사사이트

이거나 실제 사이트이거나 상관없이 팝업으로 뜨는 창은 해킹을 위한 창으로

해킹을 위한 팝업창을 통해 기본인적사항과 계좌번호 등을 등록하게 유도한 후

예금을 강제로 인출한다.

기타 경찰, 검찰, 은행, 우체국 등 국가기관이나 금융기관을 사칭하나 절대로

응하지말고 실제 해당 기관이나 금융기관에 전화해 그런 사실(공지나 안내)이

있는지 전화로 확인하고 또한 전화로 안내한 사람이 실제 인물인지 확인하고

함부로 기본인적사항이나 은행계좌번호, 카드번호 등을 노출하지않아야 한다.

용어사전 참조

스미싱 [ smishing ]

문자메시지를 이용한 새로운 휴대폰 해킹 기법이다.인터넷 보안회사인

맥아피가 스미싱(SMS+피싱)이라고 명명한 이 기법은 휴대폰 사용자에게 웹사이트

링크를 포함하는 문자 메시지를 보내 휴대폰 사용자가 웹사이트에 접속하면

트로이목마를 주입해 인터넷 사용이 가능한 휴대폰을 통제할 수 있게 만든다.

인터넷 전문분석기관 가트너는 모바일 바이러스나 웜이 2008년 이전에는 출현하지

않을 것으로 전망했으나 스미싱 출현으로 안심할 수 없게 됐다고 밝혔다.

<출처> 매일경제

피싱 [ Phishing ]

피싱(Phishing)이란 '개인정보(Private data)를 낚는다(fishing)'라는 의미의

합성어로, 불특정 다수에게 메일을 발송해 위장된 홈페이지로 접속하도록 한 뒤

인터넷 이용자들의 금융정보 등을 빼내는 신종사기 수법.

메일 발신자의 신원을 알리지 않은채 이벤트 당첨, 사은품 제공 등을 미끼로

수신자의 개인정보를 알아낸 뒤 이를 마케팅에 이용하거나 심지어는 범죄에

악용하는 악성 스팸메일을 말한다. 또 금융기관이 보내온 메시지처럼 위장해

카드 번호나 비밀번호 등 민감한 개인 자료를 요구하기도 한다.

지금까지는 주로 외국에서 유행하는 신종 스팸으로 알려져 있었으나 올들어

국내에서도 명품이나 휴대폰을 공짜로 준다는 내용의 피싱이 급격히 확산되고

있는 것으로 나타났다. <출처> 시사용어사전

피싱 [ phishing ]

개인정보 사냥행위 피싱(phishing)은 개인정보(private data)와 낚시(fishing)의

합성어로, 개인정보를 낚는다는 의미를 가지고 있다. 이는 유명회사의 홈페이지를

위조한 뒤 인터넷 이용자에게 이벤트 당첨이나 개인정보 확인 요청 등의 내용을

담은 거짓 e-mail을 보내, 위조된 홈페이지에 계좌번호나 주민등록번호 등 개인

정보를 보내도록 유인하는 사기 행위다. 특히, e-mail에 링크된 가짜 홈페이지는

해당 기관의 실제 인터넷 홈페이지의 외형과 절차를 그대로 복제하여 소비자들은

진위 여부를 판별하기 쉽지 않다. 피싱을 통하여 획득한 개인정보는 인터넷뱅킹,

텔레뱅킹 등으로 고객계좌에서 현금을 인출하고, 새로운 계좌를 만들어

악용하거나, 전자상거래를 통해 고가의 상품이나 서비스를 구입하는 등 주로

온라인 금융범죄에 사용된다. 최근 피싱 피해는 계속적으로 증가하고 있는

추세다.

*파밍(pharming) : 해커가 도메인 자체를 중간에서 탈취, 진짜 사이트 주소를

입력해도 가짜 사이트로 연결되도록 하는 것으로 피싱에서 더 나아간 형태이다.

<출처> 시사상식사전, pmg 지식엔진연구소, 2012

피싱[ phishing ]

금융기관 등으로부터 개인정보를 불법적으로 알아내 이를 이용하는 사기수법.

금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 인증번호나

신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법이다.

개인정보(private data)와 낚시(fishing)를 합성한 조어(造語)라고 하는 설과

그 어원은 fishing이지만 위장의 수법이 '세련되어 있다(sophisticated)'는

데서 철자를 'phishing'으로 쓰게 되었다는 설이 있다.

대표적인 수법으로 이메일의 발신자 이름을 금융기관의 창구 주소로 한 메일을

무차별적으로 보내는 것이 있다. 메일 본문에는 개인정보를 입력하도록 촉구하는

안내문과 웹사이트로의 링크가 기재되어 있는데, 링크를 클릭하면 그 금융기관의

정규 웹사이트와 개인정보입력용 팝업 윈도가 표시된다.

메인윈도에 표시되는 사이트는 '진짜'이지만, 팝업 페이지는 '가짜'이다. 진짜를

보고 안심한 사용자가 팝업에 표시된 입력란에 인증번호나 비밀번호, 신용카드

번호 등의 비밀을 입력·송신하면 피싱을 하려는 자에게 정보가 송신된다.

URL에 사용되는 특수한 서식을 이용하여, 마치 진짜 도메인에 링크되어 있는

것처럼 보이게 하거나, 팝업 윈도의 어드레스바를 비표시로 하는 등 교묘한

수법을 이용하고 있어 피해자가 속출하고 있다.

2004년 10월, 정보통신부가 발표한 피싱 대응요령을 보면 다음과 같다.

① 은행, 카드사 등에 직접 전화를 걸어 이메일에서 안내한 사항이 사실인지를

    확인한다.

② 이메일에 링크된 주소를 바로 클릭하지 말고, 해당 은행, 카드사 등의

    홈페이지 주소를 인터넷창에 직접 입력해 접속한다.

③ 출처가 의심스러운 사이트에서 경품에 당첨됐음을 알리는 경우, 직접 전화를

    걸어 확인하고 사실인 경우에도 가급적 중요한 개인정보는 제공하지 않는다.

④ 피싱이 의심되는 메일을 받았을 경우 해당 은행, 카드사 및 한국정보보호

   진흥원 등에 신고한다.

⑤ 은행, 신용카드, 현금카드 등의 내역을 정기적으로 확인한다.

   <출처> 두산백과

보이스피싱 [ voice phishing ]

전화 등을 이용해 상대방을 속이거나, 금융회사 등을 사칭해 돈을 빼내는 금융

사기수법 음성이라는 뜻의 '보이스(voice)'와 금융기관으로부터 개인정보를

불법적으로 알아내 이를 이용하는 사기수법이라는 뜻의 '피싱(phishing)'이라는

단어가 결합된 말로, 전화 등을 이용하여 상대방을 교묘하게 속여 비밀번호 등

개인 금융정보를 빼내 돈을 인출하거나 환급 등을 명목으로 송금을 받아 가로채는

등의 사기수법을 의미한다. 공공기관이나 금융회사, 경찰 등을 사칭하거나 친인척의

사고나 납치를 가장해 입금을 요구하는 사기 등이 이에 해당한다.

<출처> 시사상식사전, pmg 지식엔진연구소, 2012

보이스 피싱 [ Voice Phishing ]

전화를 통하여 신용카드 번호 등의 개인정보를 알아낸 뒤 이를 범죄에 이용하는

전화금융사기 수법을 말한다. 피싱(phishing)은 '개인정보(private data)'와

'낚시(fishing)'를 뜻하는 영어를 합성한 조어로서 전화를 통하여 상대방의

신용카드 번호 등의 개인정보를 불법으로 알아낸 뒤 이를 범죄에 이용하는 전화

금융사기 수법을 말한다. 처음에는 국세청 등 공공기관을 사칭하여 세금을

환급한다는 빌미로 피해자를 현금지급기(ATM) 앞으로 유도하는 방식이었으나,

이같은 수법이 널리 알려진 뒤에는 피해자가 신뢰할 수 있도록 하기 위하여

사전에 입수한 개인정보를 활용하는 등 다양한 수법들이 등장하였다.

그 유형은

① 국세청이나 국민연금관리공단 등을 사칭하여 세금·연금 등을 환급한다고

   유혹하여 현금지급기로 유인하는 형태,

② 신용카드사·은행·채권추심단을 사칭하여 신용카드 이용대금이 연체되었다거나

    신용카드가 도용되었다는 구실로 은행 계좌번호나 신용카드 번호를 입력하도록

   요구하는 형태,

③ 자녀를 납치하였다거나 자녀가 사고를 당하였다고 속여 부모에게 돈을

   요구하는 형태,

④ 검찰·경찰 또는 금융감독원 직원을 사칭하여 범죄에 연루되었다는 구실로

   개인정보를 요구하는 형태,

⑤ 동창회·종친회 명부를 입수한 뒤 회비를 송금하도록 요구하는 형태,

⑥ 택배회사나 우체국을 사칭하여 우편물이 계속 반송된다는 구실로 개인정보를

   요구하는 형태,

⑦ 가전회사나 백화점 등을 사칭하여 경품 행사에 당첨되었다는 구실로 은행

   계좌번호를 알려달라는 형태,

⑧ 대학입시에 추가로 합격하였다며 등록금을 입금할 것을 요구하는 형태

   등 다양하다.

한국인터넷정보원(KISA)은 이로 인한 피해를 예방하기 위하여 다음과 같은

'보이스피싱 예방 10계명'을 정하였다.

① 미니홈페이지나 블로그 등 1인 미디어 안에 전화번호 등 자신과 가족의

   개인정보를 게시하지 않는다.

② 종친회·동창회·동호회 사이트 등에 주소록 및 비상연락처 파일를 게시하지

    않는다.

③ 자녀 등 가족에 대한 비상시 연락을 위하여 친구나 교사 등의 연락처를

   확보한다.

④ 전화를 이용하여 계좌번호·카드번호·주민등록번호 등의 정보를 요구하는

   경우에 일체 대응하지 않는다.

⑤ 현금지급기를 이용하여 세금 또는 보험료 환급, 등록금 납부 등을 하여 준다는

   안내에 일체 대응하지 않는다.

⑥ 동창생 또는 종친회원이라고 하면서 입금을 요구하는 경우 반드시 사실 관계를

   재확인한다.

⑦ 발신자 전화번호를 확인하여 표시가 없거나 처음 보는 국제전화 번호는

   받지 않는다.

⑧ 자동응답시스템(ARS)을 이용한 사기 전화를 주의한다.

⑨ 본인의 은행계좌에서 돈이 빠져나가는 것을 바로 인지할 수 있도록 휴대폰

   문자서비스를 적극 이용한다.

⑩ 속아서 전화사기범들 계좌에 자금을 이체하였거나 개인정보를 알려준 경우에

   즉시 관계 기관에 신고하고, 거래 은행에 지급정지를 요청하고 금융감독원이나

   은행을 통하여 개인정보노출자 사고예방시스템에 등록하여 추가 피해를

   최소화한다. <출처> 두산백과

보이스피싱 [ voice phishing ]

음성(voice)과 개인정보(private data), 낚시(fishing)를 합성한 신조어로 전화를

통해 불법적으로 개인 정보를 빼내서 범죄에 사용하는 범죄를 뜻한다. 주로

사람들이 쉽게 믿을 수 있는 기관을 사칭해서 주민등록번호, 신용카드번호,

은행계좌번호 등을 알아내고 현금을 인출하거나 다른 용도로 사용하는 금융

사기가 많다. <출처> 매일경제