계정도용신고 링크 클릭을 유도하는 가짜 사이트/사진=ESRC
ESRC(이스트시큐리티 시큐리티대응센터)는 최근 카카오 로그인 인증번호를 사칭한 피싱 메일을 발견했다. 해당 피싱 메일은 누군가 사용자의 계정을 이용해 로그인이 허용되지 않은 국가에서 로그인을 시도한 것처럼 위장하고 사용자로 하여금 '계정도용신고' 또는 '내 계정이 아님' 링크를 누르도록 유도했다.
당신이 사람인지 확인하라는 가짜 보인 페이지/사진=안랩
사용자가 해당 URL을 클릭하면 바로 정보탈취용 피싱 사이트로 접속되지 않고 'Verify you are human(당신이 사람인지 확인하시오)'이라는 메시지가 뜨는 가짜 보안접속 확인 페이지로 연결된다. 이는 여러 웹사이트에서 가짜 계정을 막기 위해 사용되는 확인 과정을 이용해 사용자의 의심을 피하기 위한 것으로 추정된다.
계정정보 탈취를 위한 가짜 넷플릭스 페이지/사진=안랩
이 시각 인기 뉴스
이밖에도 최근 구글 검색 결과에서 아마존 광고로 위장한 피싱 공격이 증가하고 있다. 사용자가 광고를 클릭하면 개인정보 탈취를 위한 악성 사이트로 연결된다. 사용자는 열려진 탭을 전부 닫기 전에는 악성 사이트에서 빠져나올 수 없다. 재접속을 하는 경우에도 이전 페이지 복원 요청으로 다시금 악성 페이지로 접속을 유도한다.
안랩 관계자는 "피싱 피해를 예방하기 위해선 △이메일 발신자를 정확히 확인 △수상한 메일 내 첨부파일 및 URL 실행 금지 △V3 등 백신 프로그램 최신버전 유지 및 피싱 사이트 차단 기능 활성화 △사용 중인 프로그램의 최신버전 유지 및 보안 패치 적용 등 기본 보안수칙을 준수해야 한다"고 강조했다.
가짜 아마존 광고를 클릭하면 연결되는 피싱 사이트/사진=vimeo 캡처