티스토리 뷰


인터넷 상에서 물건을 구입하거나 은행거래를 하다보면 관련 사이트에서 오는 메일을 받게 됩니다. 하지만 가끔 평소 거래하는 이런 사이트를 빙자한 피싱(Phishing)메일을 받을 때가 있기 때문에 주의가 필요합니다. 피싱이라는 것 자체가 최종적으로 금전적 이득을 목적으로 한 일종의 '낚시'이기 때문에 깜빡 방심하면 걸려들기 딱 좋도록 교묘하게 만들어져 있습니다. 따라서 이상하다 싶은 메일이 오면 일단은 한번 의심해 보는 것이 피해를 막는 첫걸음이 될 것 같습니다.
 
이미 두번의 피싱 메일에 대한 포스팅에서도 이야기 했듯이 (Paypal 피싱 사기 메일을 받다. ,또 피싱메일(phishing mail)을 받다) 그 수법이 날로 지능화되어 가고 있어서 조심을 하더라도 속기 쉽지만 익스플로러7(IE7)이나 파이어폭스2(Firefox2)에서는 피싱메일을 열거나 연결된 링크를 클릭하면 이들 브라우저 자체에서 페이지를 막아버리거나(IE7) 경고를(파이어폭스2) 띄워주는 피싱 방지 기능이 추가돼 있어 피해를 막는데 많은 도움을 줍니다.(참고 포스팅: 피싱(Phishing)에 임하는 브라우저들의 자세)

하지만 오늘 받은 피싱메일은 당하고도 당했는지 알아차리지 못할 만큼 그 수법이 교묘하고  IE7이나 파이어폭스2, 모두 아무 경고없이 링크된 웹페이지를 열어주기 때문에 이런 종류의 피싱에 걸려들어 피해를 보시는 분이 계실 것 같아 이런 불상사를 방지하고 경험으로 체득한, 피싱에 걸리지 않는 나름대로의 방법을 이야기해 보려고 합니다.
사용자 삽입 이미지

이베이를 빙자해서 보내온 피싱(Phishing) 메일

이베이(?)로부터 위의 메일을 받았습니다. dakmart라는 아이디를 쓰는 사람이 HP Notebook를 구매(Potential Buyer)하겠다며 질문을 해 온 것 입니다. 자주 이베이를 이용하기는 하지만 저는 근래에 이런 물건을 이베이에 내놓은 일도 없고 더구나 편지 내용을 잘 읽어보면 뭔가 앞뒤가 맞지 않는 것이 이상합니다. 자기는 파는 사람이 아닌 사는 사람(Potential Buyer)이라면서 제가 HP Notebook을 사기 위해 얼마까지 제시할 수 있냐고 질문하는 편지입니다.

이베이에는 경매(Bidding)와 즉시구매(Buy it Now)말고도 Best Offer라는, 경매 마감 시간전에도 파는 사람이 마음에 드는 금액을 제시했을때 경매를 끝내고 물건을 팔 수 있는  거래 방법이 있습니다. 그러니까 이 메일 내용만으로는 이 사람이 Best offer식으로 물건을 팔려고 내 놓은 것을 제가 관심이 있어 질문했을때 그 반응으로 얼마나 낼수 있냐고 물어보는 내용의 메일이 되는 겁니다. (또는 사겠다면서 노트북 가격을 얼마나 받길 원하냐고 물어보는 것이라고 생각할 수도 있지만 이건 일반적인 이베이 거래 방식과는 거리가 있습니다.)

하지만 편지 내용 바로 위를 보면 이 사람은 잠재적 구매자(Potential Buyer)라고 되어 있습니다. 그러니까 사겠다는 사람이 제게 "얼마 내고 살 생각이냐?"라고 물어보는 이상한 편지가 되는 것입니다.
편지의 형태가 이베이에서 오는 질문형식과 거의 100% 동일하기 때문에 편지 내용을  자세히 안 읽어 보고 '난 이베이에 물건을 내 놓은 적이 없는데 이상하다'라는 생각에 "Response Now" 버튼을 누르면 이미 99%는 피싱에 말려든 것입니다.

사용자 삽입 이미지

"Response Now"를 클릭하자 열리는 가짜 이베이 로그인 화면

어찌된 일인지 확인하기 위해 "Response Now"를 클릭하면 열리는 로그인 화면입니다. 자세히 들여다 보아도 익숙한 이베이 로그인 화면과 똑 같습니다. 대부분의 피싱 사이트들이 그렇듯이 링크들도 제대로 연결되어 있어서 주소 입력창의 주소를 보지 않으면 진짜 이베이 로그인페이지로 들어왔다고 착각하기 쉽습니다.
보통은 이 단계에서 IE7이나 파이어폭스2가 화면을 차단하고 피싱사이트라고 알려줘야 하지만 이 경우에는 아무런 경고없이 사이트를 열어서 보여줍니다.(이유는 아래에 설명하겠습니다)



주소입력창의 연결주소를 보면 이베이 로그인 페이지에 쓰이는 https://로 시작하지 않고 왠 "ftp://87.126.2.45:21/eBayISAPI.dll"라는 듣도 보도 못한 주소가 보입니다. 여기까지 아무 생각없이 왔더라도 이 주소만 가지고 서도 100% 피싱이라고 확신할 수 있습니다. 보안 프로토콜을 사용하는 금융기관이나 전자상거래 사이트들을 로그인 페이지를 보안된 https:// 주소를 사용하기 때문에 주소만 자세히 봐도 대부분의 피싱은 구별해 낼 수 있습니다.

가끔 새창을 주소 입력줄이 없는 팝업 창으로 띄우는 진보된(?)피싱 사이트도 있지만 이를 방지하기 위해 IE7의 경우에는 타이틀바 바로 아래에 주소를 보여주는 기능이 있어서 사이트의 주소를 먼저 확인하고 로그인하거나 정보를 입력한다면 피싱의 마수로 부터 쉽게 벗어날 수 있습니다.

위의 가짜 이베이 로그인 페이지에 아이디를 123456 비밀번호는 7890을 넣었더니 새로운 창이 열립니다.
사용자 삽입 이미지

로그인 하지 않고도 접근할 수 있는 이베이 페이지


엉터리 아이디와 비밀번호를 넣었더니 진짜 이베이 사이트가 열립니다. 만약 로그인 페이지의 주소를 확인하지 않고 자신의 이베이 아이디와 패스워드를 입력했다면 진짜 이베이 사이트가 열렸기 때문에 피싱에 속았는지도 모를 것 같습니다. 이쯤이면 이 피싱 메일의 목적을 눈치챘을 것입니다.

이 피싱 메일은 은행 계좌번호나 페이팔(Paypal) 계정 정보를 훔치려고 했던 것이 아니라 이베이 아이디와 패스워드를 가로채 가려는 목적으로 보내진 메일인 것입니다. 아무런 의심없이 아이디와 패스워드를 입력했다면 피싱메일을 보낸 사람은 고스란히 앉아서 남의 이베이 계정을 접속할 수 있는 열쇠를 손에 쥐게 된 것입니다. 아마 그 피싱 사기꾼은 그 이베이 아이디로 다른 이베이 이용자들에게 사기를 치는데 이 정보를 이용할 것이고 사기를 당한 사람은 원래 아이디 주인에게 항의를 해 올 것입니다.

사용자 삽입 이미지

편지에 거론된 품목번호를 검색한


피싱인 것을 확실히 확인하기 위해 메일에 언급된 HP Notebook의 물품번호를 조회했더니 이베이엔 그런 물건 없다고 나옵니다. 더구나 로그인 페이지에 사용된 IP주소를 조회해 본 결과 왠 불가리아에 서버를 둔 사이트였습니다. 이로써 이 메일이 피싱 사기 메일이라고 100% 확신 할 수 있습니다.

사용자 삽입 이미지

피싱 사이트에 사용된 IP 주소의 소재지


이런 피싱 메일들은 대개 불특정 다수를 대상으로 뿌려지기 때문에 이베이를 이용하지 않는 사람들은 그 대상이 아닙니다. 하지만 이베이는 워낙 많은 이용자를 가지고 있기 때문에 이 피싱메일에 속을만한 사람들에게 이 메일이 전달된 확률은 결코 적지 않을 것입니다.

앞에서 IE7이나 파이어폭스2는 이런 피싱 사이트들이 열리면 차단하고 경고를 한다고 했지만 이 경우처럼 피싱 사이트가 분명한대도 아무런 경고없이 열리는 것은 아무도 신고하지 않았기 때문입니다. 그러니까 IE7이나 파이어폭스2도 사용자들이 참여해서 신고해 피싱 사이트 리스트를 필터에 추가해 주지 않으면 새로운 피싱 앞에서는 무용지물이라는 이야기 입니다.

사용자 삽입 이미지

IE7에서 피싱 사이트 신고


IE7은 Tool 메뉴에 이런 아직 신고되지 않은 피싱 사이트를 보고하는 기능이 들어 있습니다. 당연히 파이어폭스2도 메뉴의 위치는 달라도 같은 기능의 신고기능이 있습니다.

사용자 삽입 이미지
결국 IE7이나 파이어폭스2가 피싱 방지 기능을 갖추고 있다고 하더라도 사용자들의 신고 없이는 그 기능이 제대로 작동하지 않는다는 말입니다. 다행히 자신은 피싱인걸 눈치 채고 당하지 않았더라도 다른 사용자들을 위해 조금 번거롭더라도 신고해 주는 수고를 한다면 어느날 자신 또한 다른 사용자들의 도움으로 피싱에서 빠져 나올 수 있는 도움을 받을 수 있을 것입니다.

지금까지 피싱 메일이나 사이트를 접하며 알게 됐던 피싱에 속지 않는 개인적인 노하우를 다음에 정리해 보았습니다.

1. 대부분의 금융기관이나 전자상거래 사이트들은 개인정보 입력을 요구하는 이메일을 보내지 않고, 설사 개인정보 입력을 요구하더라도 이메일에 링크된 주소를 클릭하라고 요구하지 않고 자기 회사의 웹사이트를 직접 방문해서 로그인하고 입력하도록 합니다.

2. 받은 이메일에 링크된 주소를 클릭했을때 주소를 잘 살펴보면 피싱메일들은 비슷해 보이지만 사실은 다른 다른 주소를 가지고 있기 때문에 주소를 확인하면 대개 구별할 수 있습니다.(예: http://www.paypal.com.ssl028e.com(가짜), http://www.paypal.com(진짜)) 또한 금융기관들은 데이타를 암호화시켜 전송하기 때문에 http://대신 https:// 주소를 사용합니다. 만약 아무리 봐도 잘 판단이 서지 않으면 해당 사이트의 주소를 직접 입력하고 들어가 customer service에 문의 해 보는 것이 확실한 방법입니다.

3. 개인정보를 입력하는 페이지에 카드번호와 비밀번호 그 외 인터넷 거래에 사용될 수 있는 정보를 모두 요구하는 사이트는 100% 피싱입니다.
사용자 삽입 이미지

지나치게 자세한 개인정보 입력을 요구하는 전형적인 피싱 사이트


이 외에 자신만이 알고 있는 방법이 있으시다면 댓글에 남겨서 공유할 수 있도록 하면 많은 도움이 될 것 같습니다.



참고 포스트

피싱(Phishing)에 임하는 브라우저들의 자세
Paypal 피싱 사기 메일을 받다.
또 피싱메일(phishing mail)을 받다.




Daum 블로거뉴스
블로거뉴스에서 이 포스트를 추천해주세요.
댓글
  • 프로필사진 박양 도움이 많이 되는 유용한 정보의 글이네요
    저는 예전에 여행사 피싱 사이트 메일을 받은 적이 있는데
    그 땐 도대체 뭐가 뭔지 몰라서 신고도 안 하고 그냥 무시했던 기억이 납니다
    앞으론 그러면 안 되겠네요;
    글 잘 읽고 갑니다 :)
    2008.02.20 20:49
  • 프로필사진 BlogIcon Ikarus 도움이 되셨으면 좋겠습니다. 사실 본문에서도 이야기한 것처럼 대부분의 피싱은 의심어린 눈초리로 꼼꼼히 살펴보면 대부분 알 수가 있는데 무심결에 클릭했다가 낚이는 것 같습니다. 2008.02.22 07:31 신고
  • 프로필사진 BlogIcon 이레오 참 더러운 녀석들입니다 2008.02.23 12:24 신고
  • 프로필사진 BlogIcon Ikarus 참으로 다양한 방법으로 사람들을 속이려 하는 사람들이죠. 2008.02.26 07:08
  • 프로필사진 예나맘 저두 이런 사기성 스팸멜 엄청 들어오는데
    그때마다 진짜~
    멜 죄다 없애버리고 싶어여
    2008.02.25 20:11
  • 프로필사진 BlogIcon Ikarus 메일함에 스팸이나 이런 피싱메일이 필요한 메일보다 더 많이 쌓이면 정말 이메일을 없애 버리고 싶은 충동이 들죠. 하지만 이메일 없이는 살 수 없는 세상이 되어 버렸으니 꾹 누르고 참고 살아야 하나 봅니다. 2008.02.26 07:09
댓글쓰기 폼