IT/보안

해킹 당하지 말자[종류 - phishing 피싱 편]

송시 2020. 4. 15. 22:27
728x90

phishing 은 낚시한다의 fishing 의 발음에서 어느정도 따라왔고, 사람의 심리와 IT의 취약한 부분을 활용하여 공격하는 형태다.

피싱은 쉽게 말해 사람을 속여서 정보를 갈취하는데 그 목적이 있다.
내 말에 논란의 여지가 다분하겠지만, 내 개인적인 생각은 피싱은
중요 정보를 수집하기 위해 사용된다.
물론 피싱+무엇인가를 통해서 다른 방향 나오고, 실제로도 그렇게 하지만 그것은 원격제어에서도 다루어졌기에 논외로 두련다.

피싱은 설명하기 다소 애매하므로 유사 사례를 만들어 설명하겠다.
- facebook 에 DM(direct message)로 친구가 링크를 보냈다.[다소 선정적이거나, 의구심이 드는]
그 링크를 눌렀을 때 facebook의 계정 로그인 비밀번호를 요구하는 페이지가 떴다
-->피해자의 facebook 계정이 탈취됨
-->수상함을 느끼고 비밀번호를 미입력함, 그러나 이미 내 계정을 통해 facebook의 다른 친구들에게 수상한 링크가 전송되어, 피해자에서 가해자가 됨
**유사한 형태로 이메일/sns/메신저 등이 있고 공격 형태에 따라서, 링크를 클릭하지 않았더라도, 해킹당할 수 있다.

- 서울중앙지방검찰청에서 전화가 왔고, 문자 또는 유선으로 특정 홈페이지에 방문하도록 유도했다.
그곳에는 서울지방검찰청 홈페이지가 떴고, 지시한데로 메뉴를 검색했을때, 그들이 말하는 것들이
사실이라는 것을 알게되었다. 그들의 말대로 돈을 출금해서 그들에게 계좌이체를 해야했고,
그들이 알려준 홈페이지 주소 대로 들어가보니, 내가 이용하는 XX은행의 홈페이지에 로그인을 했다.
그곳에 공인인증정보나, 계좌 비밀번호 등의 주요 정보를 입력하였다.
-->은행 개인 정보(금융 정보) 탈취됨
**피싱과 유사하지만 파밍이라는 기술이 접목되었다면, 피해자가 직접 입력한 XX은행 홈페이지 주소로도 금융 정보가 탈취됨

- 네이버 중고나라 카페에서 안전거래를 유도하여, 안전거래 메뉴를 클릭하고, 연결된 안전거래 사이트에 등록되어 있는
매물을 확인 후 결제함
-->위조된 안전거래 사이트로 인해 개인 정보 탈취 및 계좌 이체됨

728x90