[보안뉴스]안랩 “21대 대선 설문조사 주의 당부”...경품 미끼 피싱 사기

뉴스 요약

대통령 선거를 앞두고 설문조사 참여를 미끼로 개인정보를 탈취하는 신종 피싱 공격이 증가하고 있습니다. 공기업을 사칭한 문자 메시지를 통해 설문 링크를 클릭하도록 유도하고, 경품 제공을 약속하여 사용자의 참여를 유도하는 방식입니다. 안랩은 이러한 피싱 공격에 대한 주의를 당부했습니다.

핵심 포인트

• 대선 관련 설문조사를 가장한 피싱 공격 증가
• 공기업 사칭
• 경품 제공으로 참여 유도
• 개인정보 탈취 목적
• 안랩에서 주의 당부

기술 세부 내용

1️⃣ Phishing (피싱)

• 정의: Phishing은 개인정보(ID, 비밀번호, 금융정보 등)를 탈취하기 위해 합법적인 기관이나 기업으로 위장하는 사회공학적 공격 기법입니다.
• ⚙️ 작동 방식: 공격자는 이메일, 문자 메시지, 웹사이트 등을 통해 피해자를 속여 악성 링크를 클릭하거나 개인정보를 입력하도록 유도합니다. 이 링크는 가짜 웹사이트로 연결되거나 악성코드를 설치할 수 있습니다.
• 목표: 피해자의 금융 정보, 개인 식별 정보, 계정 정보 등을 탈취하여 금전적 이득을 취하거나 신원 도용 등에 악용합니다.
• ️ 예방법:
  • 출처가 불분명한 이메일이나 문자 메시지의 링크 클릭 금지
  • 발신자 주소, 웹사이트 주소 등을 꼼꼼히 확인
  • 개인정보 입력 전 웹사이트의 보안 인증서 확인 (HTTPS, 자물쇠 아이콘)
  • 스팸 필터, 백신 프로그램 등 보안 소프트웨어 사용
  • 의심스러운 메시지 수신 시 관련 기관에 신고

2️⃣ Social Engineering (사회공학적 공격)

• 정의: 사람의 심리적 약점이나 행동 패턴을 이용하여 정보를 탈취하거나 시스템에 침투하는 공격 기법입니다. 기술적인 해킹보다 사람의 취약점을 공략하는 것이 특징입니다.
• 목표: 보안 시스템을 우회하여 정보를 획득하거나, 특정 행위를 유도하여 시스템을 손상시키는 것입니다.
• 종류:
  • Pretexting: 특정 시나리오를 만들어 정보를 얻어내는 기법
  • Baiting: 매력적인 제안을 미끼로 악성코드를 설치하거나 정보를 탈취하는 기법 (이번 뉴스의 사례와 유사)
  • Quid pro quo: 서비스 제공을 대가로 정보를 요구하는 기법
  • Tailgating: 권한이 있는 사람을 따라 제한 구역에 침입하는 기법
• ️ 예방법: 보안 교육 및 훈련을 통해 사회공학적 공격에 대한 인식을 높이는 것이 중요합니다. 의심스러운 요청이나 상황에 대해서는 항상 경계하고, 개인정보 보호에 대한 주의를 기울여야 합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137329&kind=&sub_kind=