피싱(Phishing)이란?
개인정보(Private data)와 낚시(Fishing)의 합성어로 인터넷 이용자들에게 유명 회사를 사칭하는 이메일을 보내고, 위장된 홈페이지에서 계좌번호, 주민등록번호, 로그인 비밀번호, 인증서암호 등의 개인정보를 입력하도록 유도하여 이들 정보를 이용해 금융사기를 일으키는 신종 사기 수법입니다.
피싱수법 과정
발송된 피싱 메일 확인
메일내용에 현혹되어
링크된 사이트를 클릭!
연결된 위장 사이트에
나의 금융정보 입력
입력된 정보를 이용하여
금융사기!
피싱 식별요령
(유형 1)
- 1.
- 유명은행, 카드사 등을 사칭 (업체 마크, 로고 등이 메일에 보인다고 하더라도 위장 사이트일 수 있음)
- 2.
- 계좌, 카드 비밀번호와 같은 정보들을 확인하거나 갱신하도록 유도.
- 3.
- 확인 또는 갱신하지 않을 경우 거래가 중지된다는 식의 경고를 하거나 자극적인 문구를 사용.
(유형 2)
- 1.
- 포털사이트, 쇼핑몰 등을 사칭
- 2.
- 경품 당첨 안내 또는 이벤트참가 등을 유도하여 주민등록번호, 휴대폰번호 등의 개인정보를 입력하도록 유도.
(유형 3)
- 1.
- 은행을 사칭하는 문자를 발송
- 2.
- 보안강화서비스 신청을 유도하여 주민등록번호, 계좌번호, 보안카드 번호 입력을 요구
파밍(Pharming)이란?
DNS Hijacking 등을 이용하여 사기 웹 사이트로 고객이 접속하도록 유인하여 개인정보를 절도하는 피싱의 진화된 형태로 피싱보다 피해 유발 가능성이 매우 큽니다.
파밍 식별요령
- 1.
- 로컬해킹 : 사용 PC 해킹, Host File을 변경하여 피싱 사이트로 유도합니다.
- 2.
- 도메인 탈취 : 합법적으로 소요하고 있던 고객사의 도메인을 탈취하여 피싱 사이트로 유도합니다.
- 3.
- DNS 서버 해킹 : DNS 서버를 해킹, DNS 이름을 속여서 사용자들이 진짜 사이트로 오인하도록 유도합니다.
피싱/파밍 대응요령
- 1.
- 은행, 카드사 등에 직접 전화를 걸어 이메일이 안내하는 사항이 사실인지를 확인한다.
- 2.
- 이메일에 링크된 주소를 바로 클릭하지 말고, 해당 은행, 카드사 등의 홈페이지 주소를 인터넷 주소창에 직접 입력하여 접속한다.
- 3.
- 출처가 의심스러운 사이트에서 경품에 당첨되었음을 알리는 경우 직접 전화를 걸어 사실인지를 확인하고, 사실인 경우에도 가급적이면 중요한 개인정보는 제공하지 않는다.
- 4.
- 피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰 및 아래 기관에 신고한다.
- 5.
- 메일이나 게시판에 연결된 사이트에 개인 금융정보(계좌번호, 비밀번호 등)를 입력하지 마세요.
- 6.
- 금융회사 또는 공공기관을 사칭한 피싱 사이트 접속을 유도하여 고객정보를 탈취하는 사례가 발생하고 있습니다.
- *
- 특히 공공기관에서는 전화 또는 인터넷 사이트를 통해 계좌 비밀번호 또는 일회용비밀번호(보안카드, OTP 발생기 등)를 묻지 않습니다.
- 7.
- 금융거래 사이트는 접속 시 인터넷 주소를 직접 입력하세요.
- 8.
- 의심스러운 인터넷 사이트를 발견하거나 금융거래 정보입력을 요구하는 인터넷 사이트 발견시 즉시 관련기관에 신고하세요.