스미싱이란 무엇이며 어떤 영향을 미칠 수 있나요? 스미싱은 SMS와 피싱. 문자 메시지 피싱의 한 형태인 스미싱은 사이버 범죄자가 사용자의 금융 데이터를 얻거나 원격으로 컴퓨터에 액세스하는 데 사용될 수 있습니다. 스미싱은 합법적으로 보이는 SMS 또는 문자 메시지를 보내 신용카드 번호와 같은 개인 정보 제공을 요청하는 방식으로 작동합니다.
"오늘날 사이버 범죄자들은 이메일보다 문자 메시지를 더 신뢰하기 때문에 스미싱 공격을 자주 수행합니다. 이러한 잘못된 믿음으로 인해 스미싱 공격이 300% 이상 증가 지난 2년간 스미싱 사기가 300% 이상 증가한 원인일 수 있습니다."
누군가 복권에 당첨되었다고 주장하는 시나리오에 대해 잘 알고 계신가요? 아니면 선물을 받았다고? 그 전화가 정확한지, 규정을 준수하는지 생각해 본 적이 있나요? 그렇다면 스미싱(SMS 피싱)을 받았을 가능성이 높습니다. 그렇기 때문에 스미싱이 무엇이며 스미싱의 함정에 빠지지 않는 방법을 알아야 합니다.
최근 스미싱 공격
스미싱 사기는 여러 아일랜드 소매 은행 및 그 고객을 대상으로 한 스미싱 사기가 특히 2020년 여름과 코로나19가 시작된 이후 발생했습니다.
스미싱은 치명적인 결과를 피하기 위해 즉시 대응해야 한다는 내용으로 사용자를 겁을 주는 경우가 많습니다.
예를 들어 은행에서 문자 메시지를 통해 '이상한 활동' 또는 사기 행위로 인해 은행 카드, 계좌 또는 온라인 액세스가 일시 정지되거나 차단되었음을 알려줄 수 있습니다.
링크를 클릭하여 계정 잠금을 해제하거나 동결을 해제하라는 SMS 메시지가 전송됩니다.
스미싱의 일반적인 방법
2020년과 2021년에 실시한 IT 전문가 설문조사 응답자 10명 중 7명 이상이 2020년과 2021년 에 참여한 응답자 10명 중 7명 이상이 지난 조사 연도에 스미싱 공격을 경험했다고 답했습니다. 이는 2020년에 스미싱을 경험했다고 답한 응답자의 61%보다 증가한 수치입니다.
해커는 소셜 엔지니어링을 사용하여 스미싱을 계획합니다:
- 멀웨어 - 속아서 멀웨어를 다운로드하거나 바이러스 또는 스파이웨어가 포함된 악성 웹사이트 링크를 열도록 유도할 수 있습니다.
- 뱅킹 인증정보 공유 - 공격자는 스푸핑된 웹사이트에서 뱅킹 인증정보를 제출하도록 유도한 후 계정에 액세스하여 예치금을 완전히 탈취할 수 있습니다.
- 회사 로그인 정보 공유: 공격자는 회사의 내부 시스템 및 민감한 데이터베이스에 액세스하기 위해 회사 로그인 정보를 사용하여 로그인을 요청할 수 있습니다.
스미싱은 어떻게 작동하나요?
스미싱 작업은 매우 간단한 방식으로 수행됩니다. 한번 살펴보겠습니다:
- 해커는 사용자가 자신의 커뮤니케이션이 진짜라고 착각하도록 유도하기 위해 사회 공학 기법을 사용하여 문자 메시지를 보냅니다.
- 이 SMS에 첨부된 악성 링크를 클릭하거나 사용자 이름, 비밀번호, 이메일 등과 같은 개인 데이터에 대한 액세스 권한을 제공합니다.
- 사용자 정보가 해킹되면 해커는 이를 이용해 사기를 저지르거나 다크웹에서 훔친 정보를 판매합니다.
스미싱이 점점 더 보편화되는 이유는 무엇인가요?
스미싱은 다양한 원인으로 인해 증가하고 있습니다. 스미싱은 단순한 사기 수법이라는 점이 가장 중요합니다. 사기꾼은 몇 개의 전화번호와 필요한 정보를 수집하기 위해 개인이 문자를 보내도록 유도하는 교묘한 방법만 있으면 됩니다.
사람들은 또한 SMS 문자를 좋아합니다. 3분 이내에 문자 메시지의 95%가 열리고 답장합니다. 이메일의 20%만 열어보거나 응답하지 않는다는 점을 감안하면 문자 사기가 얼마나 도둑에게 매력적인지 알 수 있습니다. 이메일의 20%만이 열리고 답장을 받는다는 점을 감안하면 문자 사기가 얼마나 절도범에게 매력적인지 알 수 있습니다.
스미싱 공격의 유형
스미싱 공격에는 여러 유형이 있습니다. 여기에는 다음이 포함됩니다:
코로나19 스미싱: 코로나19 스미싱은 WhatsApp의 소셜 미디어 애플리케이션을 사용하여 피해자에게 메시지를 발송하는 피싱 사기입니다. 이 메시지는 사용자가 선물에 당첨되었다고 주장하며 링크를 클릭하도록 유도합니다. 링크를 클릭하면 바이러스가 컴퓨터에 다운로드됩니다.
선물 스미싱: 선물 스미싱은 Facebook, Instagram 또는 WhatsApp과 같은 소셜 미디어 애플리케이션을 사용하여 피해자에게 메시지를 보내는 피싱 사기의 또 다른 유형입니다. 이 메시지는 수신자가 선물에 당첨되었다고 주장하며 링크를 클릭하도록 유도합니다. 링크를 클릭하면 멀웨어가 컴퓨터에 다운로드됩니다.
가짜 서비스 스미싱: 가짜 서비스 스미싱 공격은 공격자가 바이러스나 소프트웨어 또는 하드웨어의 기타 문제 등 컴퓨터나 디바이스의 문제를 해결할 수 있다고 주장하는 이메일을 보내는 것입니다. 이러한 이메일에는 사용자 모르게 디바이스에 트로이 목마나 기타 형태의 멀웨어를 설치할 수 있는 악성 소프트웨어가 포함된 첨부 파일이 포함되어 있는 경우가 많습니다.
송장 또는 주문 확인 스미싱: 기업이 간단한 인보이스 또는 주문 확인서를 문자 메시지로 전송합니다. 사용자는 메시지에 포함된 인보이스 링크를 클릭하여 가짜 웹사이트에 결제 정보를 입력합니다. 사용자의 기기에 멀웨어를 다운로드하도록 유도하는 것이 목표입니다.
금융 서비스 스미싱: 은행 또는 신용카드 회사에서 사용자에게 계정에서 의심스러운 활동을 경고하는 메시지를 보냅니다. 사용자는 자신의 계좌를 확인할 수 있다고 생각하지만 대신 디바이스에 멀웨어를 다운로드합니다.
스미싱 예방이란 무엇인가요?
스미싱 공격을 차단하는 방법은 무엇인가요?
무엇을 피해야 하는지 알면 피해자가 되지 않는 데 도움이 됩니다. 다음은 스미싱 사기로부터 자신을 보호하는 데 도움이 되는 몇 가지 팁입니다:
응답하지 않음
스미싱 문자 메시지에 절대 응답하지 않는 것이 가장 먼저 지켜야 할 규칙입니다. 해커의 작업 번호를 확인할 수 있을 뿐만 아니라 디바이스에 멀웨어가 설치될 가능성이 있습니다. 그런 다음 해커는 이를 더 많은 사기 수법에 사용하거나 다크 웹에서 수익을 위해 재판매할 목록에 포함시킬 수 있습니다.
은행 또는 소매업체에 직접 문의
사이버 범죄자들은 스미싱 문자에서 평판이 좋은 회사나 은행 기관으로 사칭하는 경우가 많습니다. 가장 좋은 방법은 문자를 받고 진위 여부가 의심스러우면 즉시 해당 은행이나 상점에 연락하는 것입니다. 은행 웹사이트에는 스미싱 신고 서비스가 있는 경우가 많으므로 스미싱 시도에 대한 신고를 즉시 보낼 수 있습니다.
2FA 사용
2단계 인증은 스미싱 사기에 속아 인증 정보 중 하나가 노출된 경우 추가적인 보안 계층을 제공할 수 있습니다. 생체 인식 기술은 로그인을 시도할 때 얼굴 인식 및 지문 기술을 사용하여 사용자의 신원을 확인합니다.
결론
스미싱이 무엇인지 헷갈리신다면 이메일 대신 SMS를 받는다는 점을 제외하면 피싱과 비슷하지만, 결국 사용자의 정보와 자산이 위험에 처해 있다는 점에서는 모두 동일합니다.
이메일 피싱 방지를 위해 다음을 배포하는 것이 좋습니다. DMARC 분석기 를 배포하여 도메인이 무단으로 사용되지 않도록 보호하는 것이 좋습니다. 또한 DMARC 전문가가 이메일 도메인의 보안 상태에 대한 정보를 제공하고 향후 전략을 수립하는 데 도움을 줄 것입니다.
- 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일