피싱으로부터 계정 보호

피싱은 가짜 웹사이트와 이메일 또는 기타 메시지를 이용하는 신원 도용 사기를 설명하는 용어입니다. 피싱 공격의 목적은 피해자의 계정과 민감한 정보에 액세스하는 것입니다. 공격자는 평판이 좋은 웹사이트를 모방하여 가짜 웹사이트를 만들거나, 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 메시지를 보낼 수 있으며, 피싱 메시지는 가짜 계정이나 해킹된 계정에서 전송될 수 있습니다.

참고: 의심스러운 채널을 통해 개인 정보를 공유했으며 개인 정보와 ID가 위험한 상태라고 판단되면 정부 가이드를 따르십시오.

피싱 메시지는 다음 작업을 완료할 것을 요청할 수 있습니다.

  • 특정 링크 방문
  • 특정 파일 다운로드
  • 첨부 파일 열기

이러한 작업을 수행하면 웜, 트로이 목마, 봇, 바이러스 등의 악성 소프트웨어인 맬웨어에 컴퓨터나 모바일 디바이스가 감염될 수 있습니다. 디바이스가 감염되면 침입자가 피해자의 개인 정보에 액세스할 수 있게 됩니다.

은행 계좌 정보와 같은 개인 정보를 직접 요청하는 피싱 사기도 있습니다.

피싱 사기는 다음과 같은 방식으로 개인 정보를 제공하도록 요청할 수 있습니다.

  • 이메일 또는 기타 메시징 시스템 이용
  • 특정 양식 작성 유도
  • 사기성 전화 번호 이용
  • 가짜 실제 주소 이용

이메일 주소를 입력하고 비밀번호를 재설정하라는 요청도 위험할 수 있습니다.

참고: 수신된 피싱 메시지는 Shopify의 안전 받은 편지함(safety@shopify.com)으로 전달하십시오. Shopify에서는 판매자를 대상으로 하는 공격 레코드를 작성함으로써 판매자 및 해당 정보를 더욱 효율적으로 보호할 수 있습니다.

경고 징후 파악

경고 징후를 파악하면 피싱으로 인한 피해를 방지할 수 있습니다. 보낸 사람이 누구든 수신된 메시지의 내용을 늘 자세히 확인하고, 자주 방문하는 웹사이트처럼 보이더라도 철저하게 조사해야 합니다.

너무 일반적인 표현

판매자와 해당 업체는 피싱을 조사하여 적절하게 판단할 수 있지만, 대개 피싱 사기의 가장 큰 특징은 '일반적인 표현'이라 할 수 있습니다. 예를 들어 신뢰할 수 있는 조직에서 보낸 것 같지만 다음과 같은 모호한 표현으로 시작되는 메시지는 주의해야 합니다.

계정 소유자님께,

마찬가지로 중요한 사업상의 기회나 금전 제공을 약속하고 있지만 발신자가 수신자를 알고 있음을 확신할 수 있는 세부 정보가 충분하지 않은 다음과 같은 메시지는 사기일 수 있습니다.

안녕하세요, xx은행의 Frederick입니다. 돌아가신 친척분의 유산 상속과 관련하여 최대한 빨리 연락해 주시기 바랍니다. SMS로는 자세한 내용을 알려 드릴 수가 없습니다. 아래 주소로 이메일을 보내 주시기 바랍니다.

개인 계정에서 보낸 업무 메시지

숙련된 공격자는 판매자의 온라인 상태만으로도 실제 연락처가 보낸 것처럼 보이는 메시지를 작성하는 데 충분한 정보를 수집할 수 있습니다.

도매가 업데이트

안녕하세요, Georgia. 업데이트 정보를 보내 드립니다. 현재 도매가가 포함된 스프레드시트입니다. fabric-prices-2016-oct.xls

지난번에 받으신 셔츠는 마음에 드셨나요? 문의 사항이나 문제가 있으면 연락주세요.

--

Julia Chan

계정 관리자

피싱 메시지 작성 방식의 예

공격자는 피싱 메시지를 보내기 위해 판매자 연락처의 회사 계정을 해킹하거나 가짜 개인 계정을 만들 수 있습니다. 예를 들어 연락처인 Julia의 개인 이메일 사용자 이름이 juliachan3857인 경우 공격자는 사용자 이름이 juliachan9665인 계정에서 이메일을 보낼 수 있습니다. 이러한 공격 형식에서는 다음의 두 가지 요소를 전제 조건으로 이용합니다.

  • 사용자들이 실수로 잘못된 계정에서 이메일을 보내는 경우가 있습니다.
  • Julia의 개인 이메일 주소를 알고 있더라도 주소를 자세히 확인하지는 않습니다.

오타, 문법 오류, 기존과 다른 스타일

범죄자들은 전문적인 웹 콘텐츠 작성자처럼 콘텐츠 스타일 가이드를 철저하게 준수하지 않습니다. 한 페이지 내에 오타와 문법 오류를 비롯하여 다음 범주에 속하는 오류들이 있다면 사기성 웹사이트일 수 있습니다.

  • 철자
  • 대/소문자 표기
  • 번호
  • 문장 부호
  • 서식

불안하게 하거나 지나치게 강조하는 어투

다시 생각해 보지 않고 바로 특정 행동을 취하도록 불안감을 조성하려 하는 '촉박함'을 강조하는 요청은 주의해야 합니다. 예를 들어 Shopify는 다음과 같은 메시지를 보내지 않습니다.

심각한 서버 오류가 발생했습니다. 24시간 내에 사용자 이름과 비밀번호를 알려 주시지 않으면 스토어 액세스 권한이 영구적으로 소멸됩니다.

마찬가지로 요청된 작업을 즉시 수행해야 90% 할인 혜택을 받을 수 있다는 여행사의 메시지 등 현실적으로 불가능한 혜택 등을 제공하는 메시지에도 주의해야 합니다.

잘못된 것 같은 URL

피싱 시도에서는 자세히 확인하지 않으면 합법적인 것으로 착각할 수 있는 URL을 사용할 수 있습니다. 피싱을 시도할 때는 대부분 공격 대상이 이미 잘 알고 있는 URL과 비슷해 보이도록 의도적으로 선택한 URL을 사용합니다. 아래 표에 나와 있는 것처럼, Example Apparel의 올바른 URL에서 수영복을 자주 구매하는데 가짜 URL의 링크가 포함된 이메일을 받는다면 해당 이메일은 피싱 시도일 수 있습니다.

실제 URL을 클릭하면 Example Apparel 소유의 example-apparel.com 도메인 사이트로 이동하는 반면, 가짜 URL을 클릭하면 범죄자의 소유일 가능성이 높은 com-aquatic.net 도메인의 악성 사이트로 이동하게 됩니다.

합법적 URL 가짜 URL
example-apparel.com/aquatic/swimmies example-apparel.com-aquatic.net/swimmies

다른 커뮤니케이션 방법을 사용하여 문제 제기

의심스러운 메시지의 발신자에게 직접 또는 전화로 메시지에 대해 문의하고, 조직의 담당자와 논의하여 웹페이지 관련 문제를 해결하십시오.

전화로 발신자에게 연락하는 경우 보관되어 있는 번호나 믿을 만한 여러 온라인 출처에 표시되어 있는 번호를 사용하십시오. 예를 들어 세무서에서 이메일로 의심스러운 정보 요청을 받았다면 작년 소득 신고서에 나와 있는 번호로 세무서에 전화를 해 봅니다. 의심스러운 웹사이트나 이메일에 표시되어 있는 번호로 전화를 해서는 안 됩니다.

웹사이트 연결 시 HTTPS 사용

사용자 이름과 비밀번호 또는 기타 중요한 데이터를 입력해야 할 수 있는 웹사이트에 연결할 때는 브라우저에서 URL 옆에 자물쇠 아이콘이 표시되는지 확인합니다.

자물쇠 아이콘이 있으면 사이트 연결이 HTTPS 프로토콜을 통해 암호화된 것입니다. 암호화된 연결의 URL은 http://가 아닌 https://로 시작됩니다. http://를 사용하는 연결에서는 일반 텍스트로 데이터를 전송하므로 공격자가 데이터를 중간에 가로채서 읽을 수 있습니다.

정보 입력이 예상되는 페이지로 연결되는 링크를 클릭하기 전에 URL이 https://로 시작하는지 확인하십시오.

받을 예정인 첨부 파일이나 링크만 열기

원래 받을 예정이었으며 포함된 내용을 알고 있는 경우가 아니면 첨부 파일, 링크 또는 양식을 사용하지 마십시오. 이러한 첨부 파일/링크/양식을 열어서 사용하면 정보 도용을 위해 제작된 악성 사이트로 리디렉션될 수 있을 뿐 아니라 디바이스가 맬웨어에 감염될 수도 있습니다.

링크 텍스트가 URL이면 링크 자체의 URL과 일치하는지를 확인하십시오. 예를 들어, 이메일 본문에 있는 https://help.shopify.com으로 시작하는 링크를 클릭했을 때 다른 URL의 피싱 페이지로 이동하게 되는 경우가 있습니다.

많은 피싱 공격에서는 온라인 뱅킹 사이트를 사칭합니다. 은행에서 신용 한도 특별 증액 등의 제안이 포함된 의심스러운 이메일이 수신되면 링크를 클릭하지 마십시오. 대신 은행 URL을 새 창에 직접 입력하여 계정 대시보드에 해당 제안이 표시되는지 확인합니다.

공용 Wi-Fi 사용 시 주의

이동 중에는 공용 Wi-Fi를 사용하려면 편리합니다. 하지만 범죄자들은 공용 Wi-Fi를 통해 다양한 방식으로 사용자 정보에 액세스할 수 다. 그러므로 본인과 데이터를 보호하기 위한 단계를 수행하면 위험을 줄일 수 있습니다.

핫스팟 이름 확인

공격자가 커피숍 네트워크 등 동일 위치의 믿을 만한 핫스팟 이름과 비슷한 암호화되지 않은 Wi-Fi 핫스팟을 만들 수 있습니다. 피싱 핫스팟에 연결하는 경우 공격자가 만든 페이지로 이동하게 될 수 있으며, 여기에서 맬웨어에 노출되거나 개인 정보 입력을 요구받을 수 있습니다.

그러므로 핫스팟에 연결하기 전에 사용하려는 핫스팟이 합법적인지를 확인해야 합니다. 핫스팟 이름이 잘 보이는 곳에 게시되어 있지 않다면 직원에게 문의하십시오.

디바이스로의 액세스 지점을 사용하지 않도록 설정

합법적인 공용 Wi-Fi 핫스팟에 연결했더라도 공격자가 동일 네트워크에 있다면 여전히 위험할 수 있습니다. 공용 Wi-Fi 네트워크는 집이나 사무실에서 사용하는 개인 네트워크보다 보안성이 훨씬 낮습니다.

공격을 방지하려면 네트워크 내에서는 파일 공유 기능을 해제하고 연결 전에 방화벽을 사용하도록 설정해야 합니다. 이러한 예방 조치를 취하더라도 공용 Wi-Fi 네트워크를 사용하여 중요한 콘텐츠를 보내거나 받는 것은 좋지 않습니다.

VPN을 통해 중요한 데이터 보내고 받기

가상 사설망에서는 디바이스와 VPN 업체 서버 간에 보안 연결이 설정됩니다. VPN 서버는 해당 연결을 통해 사용자 정보를 인터넷으로 릴레이합니다. 공격자가 공용 Wi-Fi 핫스팟을 통해 전송 및 수신하는 데이터에 액세스하면 데이터가 암호화되므로 공격자에게 쓸모가 없어집니다.

VPN을 선택하는 방법은 TechradarPC Mag에서 확인할 수 있습니다.

VPN을 사용할 수 없는 경우 가장 안전한 옵션은 공용 Wi-Fi를 통해 중요한 정보를 전송하지 않는 것입니다.

개인 정보 유출 시 정부 가이드 준수

PII(개인 식별이 가능한 정보)에는 특정 개인을 식별하거나 가장하는 데 사용할 수 있는 데이터가 포함됩니다. PII의 유형은 다음과 같습니다.

  • full name.
  • 이메일 주소
  • 주소
  • 전화 번호
  • 신용 카드 번호
  • SIN, SSN, 여권 등의 국가에서 발급한 신분증 번호
  • 운전 면허증
  • 생년월일

의심스러운 채널을 통해 개인 식별이 가능한 정보를 제공했거나 Shopify 계정 정보가 유출된 경우 캐나다/미국 정부에서 제공하는 다음 정보와 같은 해당 국가의 정부 가이드를 참조하십시오.

캐나다

필요한 조치:

신고 접수:

미국

필요한 조치:

신고 접수:

Shopify와 함께 사업을 시작할 준비가 되셨습니까?

무료 체험