• 피싱 메시지란 무엇일까요? 무시해서는 안 되는 10가지 위험 신호

피싱 메시지란 무엇일까요? 무시해서는 안 되는 10가지 위험 신호

블로그

피싱 메시지가 그 어느 때보다 똑똑해졌으니 속지 마세요. 실제 사례와 전문가 팁을 통해 10가지 주요 위험 신호를 파악하는 방법을 알아보세요.

by Milena Baghdasaryan

읽기 시간: 7 min
피싱 메시지란 무엇일까요? 무시해서는 안 되는 10가지 위험 신호
목차-

사기를 알아차릴 수 있다고 생각하시나요? 피싱 메시지는 날로 교묘해지고 있습니다. 

피싱 중에 공격자는 악성 웹사이트로 연결되는 링크가 포함된 사기 이메일을 보냅니다. 이 웹사이트에는 시스템과 조직을 방해하기 위한 멀웨어(예: 랜섬웨어)가 포함되어 있을 수 있습니다. 또는 사용자를 속여 민감한 정보(예: 신용카드 번호)를 공개하도록 유도할 수도 있습니다. 사기꾼들은 종종 아마존, 넷플릭스, 은행 등 사용자가 이미 신뢰하는 브랜드와 기관을 사칭합니다. 이러한 공격은 막대한 금전적 손실과 신원 도용을 초래할 수 있습니다. 

링크를 클릭하기 전에 피해자가 되는 것을 막을 수 있는 10가지 위험 신호를 확인하세요.

주요 내용

  • 일반적인 피싱 메시지 유형에는 이메일 피싱, 스미싱(SMS), 소셜 피싱, 비싱 등이 있습니다. 
  • 피싱 사기를 알리는 몇 가지 위험 신호가 있습니다. 여기에는 일반적인 인사말, 민감한 정보 요청, 지나치게 관대하고 유혹적인 제안, 의심스러운 수신 거부 링크 등이 포함됩니다.
  • 유명 브랜드를 사칭하는 것은 피싱 사기의 또 다른 핵심 요소이자 유용한 위험 신호입니다. 
  • 피싱 사기의 실제 사례로는 가짜 DocuSign 요청, 아마존 주문 확인 사기, IRS 세금 환급 사기 등이 있습니다. 
  • 고급 위협 방지 도구, 이메일 인증 및 MFA는 비즈니스의 보안을 유지하는 데 도움이 됩니다.

일반적인 피싱 메시지 유형 

피싱 메시지에는 다양한 유형이 있으며, 일부는 다른 유형보다 더 흔합니다. 

이메일 피싱

이메일 피싱은 가장 널리 퍼진 피싱 유형입니다. 이메일 피싱에서 사이버 범죄자는 온라인 서비스, 은행, 유명 브랜드 등 합법적으로 보이는 기관에서 이메일을 보냅니다. 이러한 이메일에는 가짜 인보이스와 비밀번호 재설정 요청이 포함될 수 있으며, 종종 긴박감을 불러일으킵니다. 피해자가 악성 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도하여 치명적인 결과를 초래할 수 있습니다. 

스미싱(SMS)

이름에서 알 수 있듯이 "SMS"와 "피싱"의 합성어입니다. 이러한 공격이 진행되는 동안 위협 행위자는 수신자가 스스로 피해를 입는 행동을 취하도록 유도하는 사기성 문자 메시지를 보냅니다. 여기에는 민감한 세부 정보 입력, 유해한 링크 클릭 또는 악성 소프트웨어 설치가 포함될 수 있습니다. 예를 들어 "패키지가 지연되고 있습니다. 여기를 클릭하세요!"와 같은 메시지가 있습니다. 수신자가 악성일 가능성이 있는 링크를 클릭하도록 유도하는 SMS. 

소셜 피싱

소셜 미디어 피싱은 페이스북, 인스타그램, 링크드인, X 등의 소셜 미디어 플랫폼을 통해 이루어지는 공격입니다. 메시지는 무료 경품 등의 형태로 매우 친근하게 다가올 수 있습니다. 또는 "계정이 잠겼습니다."와 같이 공포심을 자극하는 메시지를 보낼 수도 있습니다. 어떤 경우든 이러한 가짜 메시지와 진짜 메시지를 구별하기는 어렵습니다. 

피싱(음성 통화)

피싱(즉, 보이스 피싱)은 사이버 범죄자가 전화를 이용해 피해자가 중요한 개인 또는 비즈니스 정보를 제공하도록 유도하는 피싱 공격을 말합니다. 일반적인 비싱의 예로는 "귀하의 SSN이 일시 정지되었습니다"라는 문구가 있으며, 이는 즉시 공포심을 유발하여 피해자가 가능한 한 빨리 조치를 취하도록 유도합니다. 

10가지 위험 신호: 피싱 메시지일 수 있는 것은 무엇인가요? 

피싱 공격으로부터 자신을 보호하려면 항상 주의를 기울여야 하는 위험 신호가 있습니다. 

1. 긴급한 위협 

긴급한 위협의 예는 다음과 같습니다: "24시간 후에 계정이 폐쇄됩니다!" "계정이 유출되었습니다." "비즈니스 계정을 유지하려면 지금 결제하세요." 긴박감은 피싱 시도에서 가장 흔하게 발견되는 요소 중 하나입니다. 하지만 상황이 아무리 급박해 보이더라도 항상 한 발짝 물러서서 생각해 보고 정말 첫눈에 보이는 것처럼 긴급한 상황인지 확인하세요. 

2. 일반 인사말(이름 대신 "친애하는 고객님")

해커는 종종 여러 명의 수신자를 동시에 공격합니다. 그 결과, 메시지에 개인화된 요소가 전혀 없는 일반적인 내용이 포함되는 경우가 많습니다. 예를 들어, 사용자 이름 대신 '친애하는 고객님' 또는 '씨'라는 식별자 없이 '고객님'이라고만 표시될 수 있습니다. 이러한 일반 메시지는 항상 신중하게 접근하세요.

3. 발신자 주소가 일치하지 않음 

발신자의 주소에 주의를 기울이고 합법적인 주소와 일치하는지 확인하세요. 예를 들어 이 주소를 보세요: "[email protected]." 충분히 주의를 기울이지 않으면 문자 "o"가 숫자 "0"으로 바뀐 것을 간과할 수 있습니다. 이러한 수법은 해커들 사이에서 매우 흔한 수법입니다. 이를 발견하려면 더 주의하고 세심한 주의를 기울이고 조치를 취하기 전에 모든 것을 다시 한 번 확인해야 합니다.

URL 위에 마우스를 가져가면 링크가 합법적인지 확인할 수 있습니다. 이 방법으로 전체 상황을 파악할 수는 없지만 최소한 패턴에 대한 기본적인 아이디어는 얻을 수 있습니다. 온라인 URL 검사기를 사용하면 더 정확한 결과를 얻을 수 있습니다. 

5. 민감한 데이터(비밀번호, SSN, 신용카드) 요청

낯선 사람이 부탁한다고 해서 아이를 맡기시겠습니까? 아마 그러지 않으실 겁니다. 그렇다면 왜 우리는 낯선 사람에게 비밀번호, 주민등록번호, 신용카드 및 기타 민감한 정보를 그렇게 쉽게 알려줄까요? 민감한 정보를 요청받을 때마다 각별히 주의해야 하며, 그렇지 않을 경우 비즈니스에 불이익을 당할 수 있습니다. 

6. 문법/철자 오류

한 문단에서 문체, 문법 또는 맞춤법 오류가 여러 개 발견되었나요? 아니면 메시지가 모국어로 제대로 들리지 않나요? 링크를 클릭하기 전에 소스를 다시 한 번 확인하라는 좋은 신호입니다. 

7. 비정상적인 첨부 파일

.exe 또는 .zip 파일과 같은 비정상적인 첨부파일은 항상 살펴보세요. 이러한 첨부 파일을 발견하면 피싱 사기 메시지일 가능성이 높다는 사실을 알아두세요. 

8. 너무 좋은 제안 

많은 사람들이 "무료 iPhone에 당첨되었습니다!"라는 메시지를 본 적이 있을 것입니다. 이러한 메시지는 클릭하고 싶은 유혹을 불러일으킵니다. 제 여동생이 아이폰에 당첨되었다고 너무 확신한 나머지 엄마와 저를 설득하는 데 몇 시간이 걸렸던 것도 그런 경우였습니다. 하지만 실제로 누군가가 이유도 없이 아이폰과 같은 값비싼 선물을 주는 이유는 무엇일까요? "일 년 내내 착하게 행동하면 산타가 보상을 준다"는 이야기를 믿지 않는 한, "너무 착한" 제안은 사실이 아닌 경우가 많다는 것을 이해해야 합니다. 

9. 신뢰할 수 있는 브랜드 사칭 

Microsoft, PayPal, Amazon 또는 신뢰할 수 있는 은행에서 메시지를 받았나요? 민감한 정보를 입력하거나 링크를 클릭하라는 메시지가 있나요? 실제로 신뢰할 수 있는 기관인지 아니면 사칭한 위협 행위자인지 다시 한 번 확인하세요. 

10. 구독 취소 위협 

구독 취소 링크는 해커에게 수익성이 높고 활용하기 쉬운 공격 대상입니다. 사람들은 일반적으로 구독 취소 링크를 신뢰하며, 위협 행위자들은 이를 잘 알고 있습니다. 이 필드에는 악성 링크와 파일이 포함될 수 있습니다. 또 다른 예로는 "여기를 클릭하지 않으면 월 50달러가 청구됩니다"라는 메시지로, 돈을 지불하지 않기 위해 조치를 취하라는 메시지가 있습니다. 실제로는 링크를 클릭하면 더 많은 비용을 지불하게 됩니다. 

실제 피싱 메시지 예시 

다음은 실제 피싱 이메일의 몇 가지 실제 사례입니다.

가짜 다큐사인 요청

보안 문제가 널리 퍼져 있음을 파악한 DocuSign은 대신 전송된 가짜 요청을 식별하는 방법에 대한 유용한 정보를 담은 기사를 게시했습니다. 그들은 다음과 같이 권장합니다. 항상 DocuSign 봉투 알림 이메일 하단에 있는 고유 보안 코드를 검색할 것을 권장합니다.

가짜 DocuSign 요청 예시 

아마존 "주문 확인" 사기

아래 이메일 예시에서는 이메일을 자세히 읽어보면 여러 가지 오류를 발견할 수 있습니다. 예를 들어, "무료 전화 연결" 라인이 갑자기 끊김로 갑자기 끊어집니다. 그런 다음 다음 줄에서 번호로 전화하라는 메시지가 표시됩니다. 또한 패키지 주소에 도로명이 누락되어 있고 형식이 이상하게 지정되어 있습니다. 이메일에는 실제 아마존 회사에서 허용하지 않는 오타도 포함되어 있습니다. 간단히 말해, 이 이메일에는 너무 많은 위험 신호가 있습니다.

아마존 주문 확인 사기 예시 

IRS 세금 환급 사기

아래 이메일은 세금 환급금 전자 명세서 확인을 위해 '환급금 확인' 링크를 클릭하도록 유도하는 것을 목표로 합니다. 이 이메일은 언뜻 보기에는 합법적인 것처럼 보이지만, 실제 IRS는 절대로 이메일, 문자 메시지 또는 소셜 미디어를 통해 민감한 세부 정보를 요청하지 않습니다. 이는 해커만이 IRS를 대신하여 할 수 있는 일입니다.

IRS 세금 환급 사기 사례 

자신을 보호하는 방법 

피싱 공격으로부터 자신을 보호하기 위해 취할 수 있는 조치는 여러 가지가 있습니다. 

일반 팁

다음은 누구나 따를 수 있는 몇 가지 일반적인 팁입니다:

링크를 클릭하는 대신 해당 웹사이트를 직접 방문하세요. 이렇게 하면 가짜 악성 사이트가 아닌 합법적인 정보 출처에 액세스할 수 있습니다. 

다단계 인증 사용 

다단계 인증과 2단계 인증은 다단계 로그인 프로세스를 포함합니다. MFA를 사용하면 계정에 액세스하려면 비밀번호 외에 다른 정보(예: 비밀번호)를 입력해야 합니다. 이렇게 하면 보안 계층이 추가되어 해커가 계정에 액세스하기가 더 어려워집니다. 

소프트웨어와 브라우저를 최신 상태로 유지하세요.

오래된 소프트웨어와 브라우저는 해커가 민감한 데이터를 악용하고 액세스할 수 있는 여지를 열어줍니다. 시스템을 최신 상태로 유지하면 보안을 극대화하고 해커를 쫓아낼 수 있습니다. 

비즈니스를 위한 팁 

다음은 비즈니스에 특히 유용한 팁입니다: 

정기적인 피싱 시뮬레이션 및 인식 교육

예방이 치료보다 낫습니다. 준비는 예방의 한 형태입니다. 자신과 동료 직원이 이러한 상황에 대비할 수 있도록 준비하세요. 교육을 제공하든 정기적인 피싱 시뮬레이션을 수행하든, 팀을 준비시키면 피싱 공격을 효과적으로 방지할 수 있습니다. 

지능형 위협 보호 도구 

PowerDMARC와 같은 온라인 플랫폼은 다양한 고급 위협 방지 도구를 제공하여 온라인에서 보호받을 수 있도록 도와줍니다. 주어진 PowerDMARC와 SecLytics의 통합와의 통합을 고려하면 이점을 누릴 수 있습니다:

  • 포괄적인 예측 위협 인텔리전스 
  • IP 주소의 위험 보안 점수 측정
  • 현재 및 잠재적 사이버 위협에 대한 인사이트 확보
  • 공격 패턴 추적 

이메일 인증(SPF, DKIM, DMARC)

SPF, DKIM, DMARC 및 기타 이메일 인증 프로토콜은 이메일 메시지의 출처에 대한 검증 가능한 정보를 제공합니다. 이러한 프로토콜은 제공업체가 특정 출처가 합법적이고 신뢰할 수 있는지 여부를 확인하는 데 도움이 됩니다. 따라서 이러한 프로토콜은 이메일 보안의 핵심적이고 필수적인 요소이므로 최대한 활용해야 합니다. 아직 이메일 인증을 설정하지 않은 경우 아래 도구를 사용할 수 있습니다:

이미 설치되어 있지만 올바르게 설정되었는지 확인하려는 경우, PowerDMARC 에도 각각에 해당하는 체커가 있습니다. 이는 다음에서 찾을 수 있습니다. 도구 섹션에서 찾을 수 있습니다.

피싱 메시지를 클릭한 경우 대처 방법

피싱 메시지를 이미 클릭한 경우 취할 수 있는 몇 가지 조치는 다음과 같습니다:

  1. 인터넷 연결을 끊습니다.
  2. 즉시 비밀번호를 변경하세요.
  3. 멀웨어를 검사합니다.
  4. 보고 대상 피싱 방지 워킹 그룹.

결론

피싱 메시지는 신뢰와 긴급성에 의존합니다. 이메일이 정상적인 것인지 피싱 사기인지 파악하는 데는 여러 가지 위험 신호가 도움이 될 수 있습니다. 여기에는 긴급한 위협, 일치하지 않는 발신자 주소, 의심스러운 링크, 비정상적인 첨부파일 등이 포함될 수 있습니다. 의심스러운 이메일은 클릭하지 마세요. 

지금 바로 PowerDMARC로 피싱으로부터 도메인을 보호하세요. 시작하기 무료 DMARC 분석을 통해 기술적인 기술 없이도 이메일을 얼마나 쉽게 보호할 수 있는지 확인하세요!

CTA

Milena Baghdasaryan의 최신 글 (전체 보기)
Microsoft 발신자 요구 사항 시행 - 550 5.7.15 거부를 피하는 방법 ...내 모든 이메일이 스팸으로 전환되는 경우 - 해결 방법은 다음과 같습니다.