"추석 선물 온 거 아냐?"...'우체국·넷플' 사칭 피싱에 당할 뻔했다
2023-09-11 17:12
# A님에게 우편물이 도착했습니다. 특별송달 우편물은 2회 방문 후 부재 시 우체국에 보관 없이 반송됩니다. 담당 집배원 전화번호 010-XXXX-XXXX
#평소 OTT를 즐겨 보는 B씨는 최근 넷플릭스 구독이 만료 예정이라는 이메일을 받았다. 메일 본문에 있는 인터넷 주소를 눌러보니 보안접속 확인 페이지가 나와 의심을 풀고 구독 갱신을 위해 카드 정보를 입력했다. 며칠 뒤 여기에 입력한 카드가 해외 결제에 악용되면서 A씨는 자신이 피싱에 속았다는 것을 깨달았다.
#평소 OTT를 즐겨 보는 B씨는 최근 넷플릭스 구독이 만료 예정이라는 이메일을 받았다. 메일 본문에 있는 인터넷 주소를 눌러보니 보안접속 확인 페이지가 나와 의심을 풀고 구독 갱신을 위해 카드 정보를 입력했다. 며칠 뒤 여기에 입력한 카드가 해외 결제에 악용되면서 A씨는 자신이 피싱에 속았다는 것을 깨달았다.
우체국·넷플릭스 사칭 등 진화하는 보이스피싱...메신저 피싱 증가 추세
최근 국가기관이나 글로벌 플랫폼을 사칭한 보이스피싱 범죄가 기승을 부리고 있다. 고전 수법인 기관 사칭 피싱 범죄가 계속되는 데 이어 넷플릭스, 애플, 카카오톡 등 플랫폼을 사칭한 신종 기법도 새롭게 등장했다.
SK텔레콤은 지난 8일 이용 고객에게 '최신 피싱 범죄 주의' 안내 문자메시지를 발송했다. 회사 측은 문자를 통해 "우체국을 사칭한 우편물 또는 넷플릭스, 카카오톡 등 플랫폼 관리자를 사칭한 이메일 피싱 범죄가 발생하고 있으니 주의해달라"고 당부했다.
우체국을 사칭한 우편물 피싱은 위조 우편물을 우편함에 넣어두고 연락을 유도하는 방식이다. 실제 지난달 말 경찰은 우체국 우편물 도착 안내서를 위조한 보이스피싱범들을 붙잡았다. 이들은 피해자들로부터 문의 전화가 오면 '신분증을 우편함에 넣어두라', '우편물이 검찰청에 있다'는 식으로 개인정보를 요구한 뒤 금전을 탈취했다.
이 밖에 지인 및 수사기관을 사칭한 보이스피싱도 여전히 성행하는 한편 정부지원금을 안내하며 금융기관을 사칭하는 방법, 택배사를 사칭해 배송조회 인터넷주소(URL)를 눌러 휴대폰에 악성 앱을 설치시키는 등 피싱 방식은 더욱 다양해지고 있다. 해외 직거래가 많아진 점을 악용해 '세금 미납', '해외 직거래 물품 배송 조회' 등을 미끼로 관세청을 사칭하는 방법 등도 있다.
SK텔레콤은 지난 8일 이용 고객에게 '최신 피싱 범죄 주의' 안내 문자메시지를 발송했다. 회사 측은 문자를 통해 "우체국을 사칭한 우편물 또는 넷플릭스, 카카오톡 등 플랫폼 관리자를 사칭한 이메일 피싱 범죄가 발생하고 있으니 주의해달라"고 당부했다.
이 밖에 지인 및 수사기관을 사칭한 보이스피싱도 여전히 성행하는 한편 정부지원금을 안내하며 금융기관을 사칭하는 방법, 택배사를 사칭해 배송조회 인터넷주소(URL)를 눌러 휴대폰에 악성 앱을 설치시키는 등 피싱 방식은 더욱 다양해지고 있다. 해외 직거래가 많아진 점을 악용해 '세금 미납', '해외 직거래 물품 배송 조회' 등을 미끼로 관세청을 사칭하는 방법 등도 있다.
최근 들어서는 플랫폼 사칭까지 등장했다. 이들은 이메일을 통해 구독 서비스 정보를 갱신하지 않으면 곧 만료된다는 안내와 함께 악성 URL을 첨부한다. 이 주소를 누르면 실제 넷플릭스 로그인 화면과 유사한 피싱 사이트가 등장하고 여기서 신용카드 정보를 유도한다. 공격자는 이렇게 도용된 카드 정보를 이용해 금전 탈취를 시도한다. 이들 수법은 가짜 사이트에 접속하도록 유도한다는 것과 개인정보와 신용카드 정보 등을 요구한다는 점에서 전형적인 '메신저 피싱' 방식에 속한다.
금융감독원 "수상한 주소 누르지 말고, 은행 예방 서비스 적극 활용"
금융감독원에 따르면 메신저 피싱 비중은 급격히 증가하는 추세다. 2020년도 보이스피싱 유형 가운데 15.9%를 차지했던 메신저피싱은 비대면 채널 이용이 증가하면서 2022년 63.9%로 급증했다. 메신저 피싱으로 인한 피해액도 2020년도 373억원에서 2022년 927억원으로 뛰었다.
금감원은 피해 사실을 인지했을 경우 즉시 입금 및 송금한 금융사의 콜센터 또는 경찰청과 금감원(1332)에 전화해 '계좌 지급 정지'를 신청하고, 출처가 불분명한 URL을 클릭해 개인정보가 노출됐다고 판단한 경우 개인정보노출자 사고예방시스템(https://pd.fss.or.kr)에서 '개인정보노출자'로 등록해야 한다고 설명했다. 이어 이용 은행을 통해 '이체 지연 서비스', '이체 단말기 지정 서비스' 등을 활용하는 방안도 추천했다.
한편 금감원은 추석 명절을 앞두고 보이스피싱이 증가할 것으로 예상하고 지난 4일부터 27일까지 '금융권 공동 집중 홍보기간'으로 정하고 피싱 범죄 예방법 집중 홍보에 들어갔다.