피싱, 비싱 및 스미싱으로부터 계정 보호
피싱은 가짜 웹사이트와 이메일 또는 기타 메시지를 이용하는 신원 도용 사기를 설명하는 용어입니다. 피싱 공격의 목적은 피해자의 계정과 민감한 정보에 액세스하는 것입니다. 공격자는 평판이 좋은 웹사이트를 모방하여 가짜 웹사이트를 만들거나, 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 메시지를 보낼 수 있으며, 피싱 메시지는 가짜 계정이나 해킹된 계정에서 전송될 수 있습니다.
공격자는 민감한 정보를 수집하기 위해 비싱, 보이스 피싱, 스미싱, SMS 또는 텍스트 피싱을 사용하여 계정에 피해를 주는 유사한 전술을 시도할 수도 있습니다. 민감한 정보를 전화로 제공하거나 SMS 문자를 통해 전송될 수 있는 위험한 링크를 클릭하지 않도록 주의해야 합니다. 피싱에 대한 전화 또는 SMS 문자를 받았다고 생각되면 즉시 Shopify 지원팀에 문의해야 합니다.
피싱 메시지는 다음 작업을 완료할 것을 요청할 수 있습니다.
- 링크 방문
- 파일 다운로드
- 첨부 파일 열기
- 개인 정보 또는 2단계 인증 코드로 회신
이러한 작업을 수행하는 경우 컴퓨터나 모바일 장치를 웜, 트로이 목마, 봇 및 바이러스와 같은 악성 소프트웨어인 맬웨어로 감염시킬 수 있습니다. 장치가 감염되면 공격자가 개인 정보에 액세스할 수 있습니다.
은행 계좌 정보와 같은 개인 정보를 직접 요청하는 피싱 사기도 있습니다.
피싱 사기는 다음과 같은 방식으로 개인 정보를 제공하도록 요청할 수 있습니다.
- 이메일 또는 기타 메시징 시스템 이용
- 특정 양식 작성 유도
- 사기성 전화번호 사용
- 가짜 실제 주소 이용
이메일 주소를 입력하고 비밀번호를 재설정하라는 요청도 위험할 수 있습니다.
이 페이지의 정보
경고 징후 파악
경고 징후를 파악하면 피싱으로 인한 피해를 방지할 수 있습니다. 보낸 사람이 누구든 수신된 메시지의 내용을 늘 자세히 확인하고, 자주 방문하는 웹사이트처럼 보이더라도 철저하게 조사해야 합니다.
모호하거나 일반적인 언어
판매자와 해당 업체는 피싱을 조사하여 적절하게 판단할 수 있지만 대개 피싱 사기의 가장 큰 특징은 일반적인 언어입니다. 예를 들어 신뢰할 수 있는 조직에서 보낸 것 같지만 안녕하세요, 계정 소유자님과 같은 모호한 표현으로 시작되는 메시지는 주의해야 합니다.
또한 중요한 사업상의 기회나 금전 제공을 약속하고 있지만 발신자가 수신자를 알고 있음을 확신할 수 있는 세부 정보가 충분하지 않은 다음과 같은 메시지는 사기일 수 있습니다.
안녕하세요, xx은행의 Frederick입니다.
돌아가신 친척분의 유산 상속과 관련하여 최대한 빨리 연락해 주시기 바랍니다.
SMS로는 자세한 내용을 알려 드릴 수가 없습니다. 아래 주소로 이메일을 보내 주시기 바랍니다.
개인 계정에서 보낸 업무 메시지
숙련된 공격자는 판매자의 온라인 상태만으로도 실제 연락처가 보낸 것처럼 보이는 메시지를 작성하는 데 충분한 정보를 수집할 수 있습니다.
도매가 업데이트
안녕하세요, Georgia.
업데이트 정보를 보내드립니다.현재 도매가가 포함된 스프레드시트입니다. fabric-prices-october.xls
지난번에 받으신 셔츠는 마음에 드셨나요? 문의 사항이나 문제가 있으면 연락주세요.
Julia Chan
계정 관리자
패브릭 예시
공격자는 판매자 연락처의 회사 계정을 해킹하거나 가짜 개인 계정을 만들어 피싱 이메일 메시지를 보낼 수 있습니다. 예를 들어 연락처인 Julia의 개인 이메일 사용자 이름이 juliachan3857인 경우 공격자는 사용자 이름이 juliachan9665인 계정에서 이메일 메시지를 보낼 수 있습니다. 이러한 형태의 공격은 다음과 같은 동작을 전제 조건으로 이용합니다.
- 사용자들이 실수로 잘못된 계정에서 이메일 메시지를 보내는 경우가 많습니다.
- Julia의 개인 이메일 주소를 알고 있더라도 주소를 자세히 확인하지 않고 차이를 알아차리지 못할 수도 있습니다.
불안하게 하거나 지나치게 강조하는 어투
다시 생각해 보지 않고 바로 특정 행동을 취하도록 불안감을 조성하려 하는 '촉박함'을 강조하는 요청은 주의해야 합니다. 예:
심각한 서버 오류가 발생했습니다. 24시간 내에 사용자 이름과 비밀번호를 알려 주시지 않으면 스토어 액세스 권한이 영구적으로 소멸됩니다.
이메일 메시지에서는 요청된 작업을 즉시 수행해야 90% 할인 혜택을 받을 수 있다는 여행사의 메시지와 같이 현실적으로 불가능한 혜택을 제공할 수 있습니다.
오타, 문법 오류, 기존과 다른 스타일
사기성 웹사이트나 이메일 메시지는 전문적으로 보일 수 있지만, 오타 및 문법 오류가 있을 수 있습니다. 웹사이트나 이메일 메시지가 사기일 가능성이 있는지 확인하려면 다음에서 잘못된 사용이나 불일치를 찾아보십시오.
- 철자
- 대/소문자 표기
- 숫자
- 문장 부호
- 서식
의심스러운 URL
피싱 시도에서는 자세히 확인하지 않으면 합법적인 것으로 착각할 수 있는 URL을 사용할 수 있습니다. 피싱을 시도할 때는 대부분 공격 대상이 이미 잘 알고 있는 URL과 비슷해 보이도록 의도적으로 선택한 URL을 사용합니다. 예를 들어, Example Apparel의 올바른 URL에서 수영복을 자주 구매하는데 가짜 URL의 링크가 포함된 이메일 메시지를 받는다면 해당 이메일 메시지는 피싱 시도일 수 있습니다.
실제 URL을 클릭하면 Example Apparel 소유의 example-apparel.com 도메인 사이트로 이동하는 반면, 가짜 URL을 클릭하면 범죄자의 소유일 가능성이 높은 com-aquatic.net 도메인의 악성 사이트로 이동하게 됩니다.
| 합법적 URL | 가짜 URL |
|---|---|
| example-apparel.com/aquatic/swimmies | example-apparel.com-aquatic.net/swimmies |
Shopify 및 중요한 문서 요청
Shopify는 텍스트나 이미지인 이메일 메시지 또는 첨부 파일을 통해 민감한 정보를 직접 요청하지 않습니다.
중요한 문서의 예는 다음과 같습니다.
- 모든 형태의 신분증
- 비밀번호
- 신용 카드 정보
- 뱅킹 정보
- SIN(사회 보험 번호) 또는 SSN(사회 보장 번호) 등의 국가에서 발급한 신분증 번호
Shopify는 app.shopify.com 또는 .shopify.com으로 시작하는 보안 업로드 페이지를 통해서만 중요한 문서 제출을 요청합니다.
다른 커뮤니케이션 방법을 사용하여 문제 제기
의심스러운 메시지의 발신자에게 직접 또는 전화로 메시지에 대해 문의하고, 조직의 담당자와 논의하여 웹페이지 관련 문제를 해결하십시오.
전화로 발신자에게 연락하는 경우 보관되어 있는 번호나 믿을 만한 여러 온라인 출처에 표시되어 있는 번호를 사용하십시오. 예를 들어 세무서에서 이메일로 의심스러운 정보 요청을 받았다면 작년 소득 신고서에 나와 있는 번호로 세무서에 전화를 해 봅니다. 의심스러운 웹사이트나 이메일 메시지에 표시되어 있는 번호로 전화해서는 안 됩니다.
웹사이트 연결 시 HTTPS를 사용하는지 확인
사용자 이름과 비밀번호, 기타 중요한 데이터를 입력해야 할 수 있는 웹사이트에 연결할 때는 브라우저에서 URL 옆에 자물쇠 아이콘이 표시되는지 확인하십시오.
자물쇠 아이콘이 있으면 사이트 연결이 HTTPS 프로토콜을 통해 암호화된 것입니다. 암호화된 연결의 URL은 http://가 아닌 https://로 시작됩니다. http://를 사용하는 연결에서는 일반 텍스트로 데이터를 전송하므로 공격자가 데이터를 중간에 가로채서 읽을 수 있습니다.
정보 입력이 예상되는 페이지로 연결되는 링크를 클릭하기 전에 URL이 https://로 시작하는지 확인하십시오.
수신할 예정인 첨부 파일이나 링크만 열기
원래 받을 예정이었으며 포함된 내용을 알고 있는 경우가 아니면 첨부 파일, 링크 또는 양식을 사용하지 마십시오. 이러한 첨부 파일/링크/양식을 열어서 사용하면 정보 도용을 위해 제작된 악성 사이트로 리디렉션될 수 있을 뿐 아니라 디바이스가 맬웨어에 감염될 수도 있습니다.
링크 텍스트가 URL이면 링크 자체의 URL과 일치하는지를 확인하십시오. 예를 들어, 이메일 본문에 있는 https://help.shopify.com으로 시작하는 링크를 클릭했을 때 다른 URL의 피싱 페이지로 이동하게 되는 경우가 있습니다.
많은 피싱 공격에서는 온라인 뱅킹 사이트를 사칭합니다. 은행에서 신용 한도 특별 증액 등의 제안이 포함된 의심스러운 이메일 메시지가 수신되면 링크를 클릭하지 마십시오. 대신 은행 URL을 새 창에 직접 입력하여 계정 대시보드에 해당 제안이 표시되는지 확인합니다.
공용 Wi-Fi 사용 시 주의
공용 Wi-Fi는 집이나 회사 밖에서 편리하게 사용합니다. 하지만 공격자는 공용 Wi-Fi를 통해 다양한 방식으로 사용자 정보에 액세스할 수 있습니다. 그러므로 본인과 데이터를 보호하기 위한 단계를 수행하면 위험을 줄일 수 있습니다.
핫스팟 이름 확인
공격자가 커피숍 네트워크와 같은 동일 위치의 믿을 만한 핫스팟 이름과 비슷한 암호화되지 않은 Wi-Fi 핫스팟을 만들 수 있습니다. 피싱 핫스팟에 연결하는 경우 공격자가 만든 페이지로 이동하게 될 수 있으며, 여기에서 맬웨어에 노출되거나 개인 정보 입력을 요구받을 수 있습니다.
핫스팟에 연결하기 전에 사용하려는 핫스팟이 합법적인지를 확인해야 합니다. 핫스팟 이름이 잘 보이는 곳에 게시되어 있지 않다면 해당 위치의 직원에게 문의하십시오.
장치에 대한 액세스 지점 비활성화
합법적인 공용 Wi-Fi 핫스팟에 연결했더라도 공격자가 동일 네트워크에 있다면 여전히 위험할 수 있습니다. 공용 Wi-Fi 네트워크는 집이나 사무실에서 사용하는 개인 네트워크보다 보안성이 훨씬 낮습니다.
공격을 방지하려면 네트워크 내에서는 파일 공유 기능을 해제하고 연결 전에 방화벽을 활성화해야 합니다. 이러한 예방 조치를 취하더라도 공용 Wi-Fi 네트워크를 사용하여 중요한 콘텐츠를 보내거나 받는 것은 좋지 않습니다.
VPN을 통해서만 중요한 데이터를 보내고 받기
가상 사설망에서는 디바이스와 VPN 업체 서버 간에 보안 연결이 설정됩니다. VPN 서버는 해당 연결을 통해 사용자 정보를 인터넷으로 릴레이합니다. 공격자가 공용 Wi-Fi 핫스팟을 통해 전송하거나 수신하는 데이터에 액세스해도 데이터가 암호화되므로 공격자에게 쓸모가 없어집니다.
VPN을 선택하는 방법은 Techradar 및 PC Mag에서 확인할 수 있습니다.
VPN을 사용할 수 없는 경우 가장 안전한 옵션은 공용 Wi-Fi를 통해 민감한 정보를 전송하지 않는 것입니다.
개인 정보 유출 시 정부 지침 준수
PII(개인 식별이 가능한 정보)에는 특정 개인을 식별하거나 가장하는 데 악용할 수 있는 데이터가 포함됩니다. PII에는 다음 유형의 정보가 포함됩니다.
- 성명
- 이메일 주소
- 주소
- 전화번호
- 신용 카드 번호
- SIN, SSN, 여권 등의 국가에서 발급한 신분증 번호
- 운전면허증
- 생년월일
의심스러운 채널을 통해 개인 식별이 가능한 정보를 제공했거나 Shopify 계정 정보가 유출된 경우 캐나다/미국 정부에서 제공하는 것과 같은 해당 국가의 정부 가이드를 참조하십시오.
캐나다
필요한 조치:
신고 접수:
미국
필요한 조치:
신고 접수: