[보안 권고] 유명 웹사이트/서비스 사칭 피싱 공격 주의
최근 유명 기업에서 제공하는 서비스나, 공공기관 등을 사칭해 계정을 탈취하려는 피싱 메일을 통한 공격이 지속적으로 발견되고 있어 주의가 필요합니다.
또한, 특정인을 표적으로 삼아 악성메일을 발송하고 PC를 감염시켜 정보를 빼가는 ‘표적형 악성메일/스피어 피싱’ 공격이 증가하고 있습니다.
주요 내용
유명 SNS, 은행, 카드사, 온라인 쇼핑몰, 병원, 제조사, 항공사 등을 위장하여 아래와 같은 피싱 메일 유포
- 은행 송금영수증
- 부가가치세 수정신고 안내 통지문
- 통합 계정 로그인
- 계정 비활성화, 비밀번호 변경 안내 등
※ 해당 메일에 삽입된 링크를 클릭하면 정식 서비스와 유사한 페이지로 연결되며, 아이디/비밀번호 입력 후 로그인 시 계정 정보가 탈취됩니다.
※ 해당 메일에 첨부된 파일을 클릭하면 정보 탈취형 악성코드에 감염됩니다.
이를 통해 시스템 정보, 웹브라우저 계정, 이메일 서버 계정 등을 탈취하고 있어 주의가 필요합니다.
보안 강화 조치
유명 서비스나 기업을 사칭한 피싱 공격으로 인한 피해를 예방할 수 있는 보안수칙은 다음과 같습니다.
공식 사이트·이메일 주소와 비교 확인
- 사용자는 수신한 메일 주소가 서비스를 제공하는 기업의 공식 이메일 주소와 일치하는지 확인
- 메일이나 메시지 등으로 받은 URL에는 기본적으로 접속을 자제
반드시 접속해야 한다면 로고, 아이콘 등으로만 판단하지 말고 실제 서비스의 정식 웹사이트 주소가 맞는지 비교합니다.
2단계 인증 기능 활용
- 문자메시지 인증번호나 OTP 번호 등의 2단계 인증((Two-Step Verification) 기능 활용
계정별 다른 비밀번호 설정 및 관리 등
- 계정별 다른 비밀번호 설정 및 관리(비밀번호를 일정 주기로 변경 등)를 통해 하나의 계정이 탈취 당했을 경우를 대비