보이스피싱과 메신저피싱의 주요 수법...위급한 분위기 조성해 피해자 혼란 빠뜨려
가짜 문자로 피해자 유혹...문자 내 알 수 없는 링크 클릭만 안 해도 피해 막을 수 있어
공공·금융기관 사칭하는 연락, 사용자 요구 응대 전 전화 통화 통한 확인 필요
[보안뉴스 김영명 기자] 보이스피싱(Voice Phishing)은 가짜 금융기관 웹사이트나 위장 메일을 이용해 개인 인증번호나 신용카드 정보, 계좌정보 등을 불법적으로 알아내는 사이버 범죄다. 비슷한 유형으로 메신저 피싱(Messenger Phishing)은 주로 문자메시지나 카카오톡 등 모바일 메신저를 통해 이뤄지는 피싱 범죄의 유형을 말한다.
[이미지=gettyimagesbank]
경찰은 지속적인 보이스피싱 근절대책을 추진해 최다 피해가 발생한 2019년 총 3만 7,667건에서 지난해에는 1만 8,902건으로 보이스피싱 발생 건수가 급격히 감소했다고 밝혔다., 하지만 올해 들어서는 1월부터 5월까지 총 8,434건이 발생했으며, 피해 금액은 2,563억원 상당으로 집계됐다.
알면서도 당하는 보이스피싱과 이를 문자로 옮겨놓은 메신저 피싱, 어떻게 대처해야 할까? 우선 보이스피싱의 유형을 살펴보자. 보이스피싱 유형은 크게 기관사칭형과 대출빙자형으로 나뉜다.
▲위조된 검사 신분증 등 가짜 신분증과 사이트[자료=경찰청]
먼저 ‘기관사칭형’을 알아보면 먼저 ‘해외직구 결제 639,900원 결제 완료, 아닐 시 고객센터 신고 1566-0000’ 또는 ‘[○○은행] ○○○님 계좌가 신규 개설(또는 지급정지)되었습니다’라는 문자가 들어온다. 피해자가 해당 문자를 확인하고 해당 번호로 전화를 걸면 고객센터 사칭범과 연결된다. 이 사칭범은 “사이트에 접속해 결제내역을 확인하셔야 한다”고 거짓말을 한다. 피해자가 사칭범이 보낸 링크에 들어가 확인 후 다시 전화해서 “구매한 적 없다”고 말하면, 사칭범이 “명의도용 피해를 당한 것 같은데, 금융감독원 담당자 전화가 갈테니 자산보호 신청을 하라”고 거짓말을 한다. 이때 링크로 들어간 사이트에서 사용자의 스마트폰에 악성 애플리케이션이 설치되는 것으로 추정되고 있다.
금융감독원 사칭범은 금감원 대표번호 1332로 전화가 와서 “○○○님 명의가 도용되어 검찰에서 수사 중입니다. 검찰 사건번호를 알려줄 테니 검찰 대표번호 1301에 전화해보세요”라고 거짓말을 한다.
검찰청을 사칭하는 범죄자는 위조 공무원증이나 구속영장 등을 카카오톡과 텔레그램 등 메신저로 보내주면서 “당신 명의로 개설된 대포통장이 범죄에 이용되어 검찰 요주의 대상으로 선정됐다”며 “이번 건은 특급사건이므로 보안유지가 안 되면 체포영장을 발부하겠다. 협조하면 약식조사로 해 줄테니 이후 절차는 금감원 과장의 지시에 따르라”고 협박한다.
금감원 사칭범은 “당신 계좌가 범행에 이용되어 모든 금융거래를 정지시켰는데, ○○카드에서 대출이 가능한 것으로 확인된다. 범인들이 불법자금을 승인한 경우에만 대출이 가능한데, 이를 토대로 불법자금을 역추적할 수 있으므로 대출을 받아 국가안전계좌에 이체해라. 조사가 끝나면 모두 환수해 줄 테니 걱정말라”고 거짓말을 통해 피해금을 편취한다.
다음으로 ‘대출빙자형’을 알아보면 A은행 사칭범은 저금리 대환대출이 가능하다며 전화 또는 문자로 대출을 권유한다. 피해자가 이 같은 접근에 관심을 보이면 카카오톡으로 친구추가를 유도한 뒤 “대출 신청을 위해 ‘대출 전용 애플리케이션’을 설치해야 한다”며 악성 앱 설치파일 전송한다. 이어 사칭범은 “대출심사 결과 최대 1억원을 6.2%로 대출받을 수 있다”며 “최종적으로 대출 실행이 되면 다시 연락드리겠다”고 거짓말한다.
B은행 사칭범은 “기존에 저희 은행에서 받으신 대출이 있는데, 다른 은행에서 새로 대출을 받으셔서, 약정 위반으로 모든 계좌를 지급정지 조치했다”며 “정지를 해제하려면 기존 대출금을 상환하라”며 계좌번호를 알려주거나 B은행 직원을 가장한 사람에게 현금을 전달하라고 거짓말을 한다. 이때 언급되는 은행은 실제 피해자가 과거에 대출을 받았던 은행인 경우가 많기 때문에 쉽게 속을 수 있다.
▲메신저피싱의 실제 대화 내용[자료=경찰청]
다음으로 메신저피싱의 주요 수법과 사례를 살펴보자. 메신저피싱의 주요 시나리오로는 먼저 사기범이 피해자에게 모르는 번호로 “엄마(아빠), 내 휴대폰 액정이 깨져서 임시번호로 연락했어, 액정보험 가입하면 공짜로 수리해준다는데 내 폰으로 인증이 안돼서 가족 명의로만 인증 가능해”라는 내용의 문자를 전송한다. 처음에는 문자로 대화를 나누다가 카카오톡 등 다른 메신저로 유도하기도 한다.
그 다음으로 “인증하려면 신분증과 신용카드 앞뒷면 사진, 계좌번호, 비밀번호가 필요하니까 알려줘, 신청이 잘 안 되네, 내가 컴퓨터로 엄마 폰 연결해서 해볼테니까 보내는 링크 누르고 설치해, 엄마가 폰 터치하면 처음부터 다시 해야하니까 가만히 놔둬”라고 말한다. 이때 말하는 링크는 사용자의 스마트폰에 원격제어 애플리케이션을 설치하는 링크다. 원격제어 앱은 본래 기업에서 고객의 PC나 모바일 기기에 원격으로 접속해 서비스를 지원하는 용도로 쓰이는 정상적인 앱이지만, 사기범이 피해자의 휴대전화를 조종해 계좌에서 자금을 이체하는 등의 용도로 악용되고 있다.
이렇게 사용자의 스마트폰에 앱이 설치되면 사칭범은 개인·금융정보와 원격제어 앱을 이용해 휴대전화 소액결제를 하고, 오픈뱅킹을 통해 피해자의 계좌 잔액을 이체하며, 대포폰·통장 개설 후 비대면 대출 등으로 돈을 편취한다.
경찰은 “보이스피싱 피해 대부분이 미끼문자와 악성 앱을 기반으로 발생하고 있는 만큼 출처를 알 수 없는 문자메시지의 인터넷 주소를 클릭하거나, 타인의 앱 설치 요구에 응해서는 절대 안 된다”며 “공공기관이나 금융기관 등을 사칭하는 전화를 받는 경우 반드시 전화를 끊고 해당 기관 또는 112로 신고해 보이스피싱 여부를 먼저 확인하는 습관을 들여야 한다”고 당부했다.
이어 금융감독원은 “메신저 피싱을 예방하기 위해서는 메시지에 첨부된 인터넷 주소를 클릭하지 않고, 답장 전에 반드시 전화통화를 통해 확인해야 한다”며 “어떠한 경우에도 신분증이나 계좌번호, 비밀번호 등의 개인정보를 제공해서는 안 된다”고 밝혔다. 이어 “신분증 제공 등을 통해 이미 범죄에 노출됐다면 금융회사에 피해를 신고하고 악성 앱을 삭제하거나 휴대전화를 초기화해야 한다”며 “경찰청 사이버수사대에 사건사고사실확인원을 발급받아 해당 금융회사에 3일 이내에 제출하면 피해금을 환급 신청할 수 있다”고 안내했다.
[김영명 기자(boan@boannews.com)]
가짜 문자로 피해자 유혹...문자 내 알 수 없는 링크 클릭만 안 해도 피해 막을 수 있어
공공·금융기관 사칭하는 연락, 사용자 요구 응대 전 전화 통화 통한 확인 필요
[보안뉴스 김영명 기자] 보이스피싱(Voice Phishing)은 가짜 금융기관 웹사이트나 위장 메일을 이용해 개인 인증번호나 신용카드 정보, 계좌정보 등을 불법적으로 알아내는 사이버 범죄다. 비슷한 유형으로 메신저 피싱(Messenger Phishing)은 주로 문자메시지나 카카오톡 등 모바일 메신저를 통해 이뤄지는 피싱 범죄의 유형을 말한다.
[이미지=gettyimagesbank]
경찰은 지속적인 보이스피싱 근절대책을 추진해 최다 피해가 발생한 2019년 총 3만 7,667건에서 지난해에는 1만 8,902건으로 보이스피싱 발생 건수가 급격히 감소했다고 밝혔다., 하지만 올해 들어서는 1월부터 5월까지 총 8,434건이 발생했으며, 피해 금액은 2,563억원 상당으로 집계됐다.
알면서도 당하는 보이스피싱과 이를 문자로 옮겨놓은 메신저 피싱, 어떻게 대처해야 할까? 우선 보이스피싱의 유형을 살펴보자. 보이스피싱 유형은 크게 기관사칭형과 대출빙자형으로 나뉜다.
▲위조된 검사 신분증 등 가짜 신분증과 사이트[자료=경찰청]
먼저 ‘기관사칭형’을 알아보면 먼저 ‘해외직구 결제 639,900원 결제 완료, 아닐 시 고객센터 신고 1566-0000’ 또는 ‘[○○은행] ○○○님 계좌가 신규 개설(또는 지급정지)되었습니다’라는 문자가 들어온다. 피해자가 해당 문자를 확인하고 해당 번호로 전화를 걸면 고객센터 사칭범과 연결된다. 이 사칭범은 “사이트에 접속해 결제내역을 확인하셔야 한다”고 거짓말을 한다. 피해자가 사칭범이 보낸 링크에 들어가 확인 후 다시 전화해서 “구매한 적 없다”고 말하면, 사칭범이 “명의도용 피해를 당한 것 같은데, 금융감독원 담당자 전화가 갈테니 자산보호 신청을 하라”고 거짓말을 한다. 이때 링크로 들어간 사이트에서 사용자의 스마트폰에 악성 애플리케이션이 설치되는 것으로 추정되고 있다.
금융감독원 사칭범은 금감원 대표번호 1332로 전화가 와서 “○○○님 명의가 도용되어 검찰에서 수사 중입니다. 검찰 사건번호를 알려줄 테니 검찰 대표번호 1301에 전화해보세요”라고 거짓말을 한다.
검찰청을 사칭하는 범죄자는 위조 공무원증이나 구속영장 등을 카카오톡과 텔레그램 등 메신저로 보내주면서 “당신 명의로 개설된 대포통장이 범죄에 이용되어 검찰 요주의 대상으로 선정됐다”며 “이번 건은 특급사건이므로 보안유지가 안 되면 체포영장을 발부하겠다. 협조하면 약식조사로 해 줄테니 이후 절차는 금감원 과장의 지시에 따르라”고 협박한다.
금감원 사칭범은 “당신 계좌가 범행에 이용되어 모든 금융거래를 정지시켰는데, ○○카드에서 대출이 가능한 것으로 확인된다. 범인들이 불법자금을 승인한 경우에만 대출이 가능한데, 이를 토대로 불법자금을 역추적할 수 있으므로 대출을 받아 국가안전계좌에 이체해라. 조사가 끝나면 모두 환수해 줄 테니 걱정말라”고 거짓말을 통해 피해금을 편취한다.
다음으로 ‘대출빙자형’을 알아보면 A은행 사칭범은 저금리 대환대출이 가능하다며 전화 또는 문자로 대출을 권유한다. 피해자가 이 같은 접근에 관심을 보이면 카카오톡으로 친구추가를 유도한 뒤 “대출 신청을 위해 ‘대출 전용 애플리케이션’을 설치해야 한다”며 악성 앱 설치파일 전송한다. 이어 사칭범은 “대출심사 결과 최대 1억원을 6.2%로 대출받을 수 있다”며 “최종적으로 대출 실행이 되면 다시 연락드리겠다”고 거짓말한다.
B은행 사칭범은 “기존에 저희 은행에서 받으신 대출이 있는데, 다른 은행에서 새로 대출을 받으셔서, 약정 위반으로 모든 계좌를 지급정지 조치했다”며 “정지를 해제하려면 기존 대출금을 상환하라”며 계좌번호를 알려주거나 B은행 직원을 가장한 사람에게 현금을 전달하라고 거짓말을 한다. 이때 언급되는 은행은 실제 피해자가 과거에 대출을 받았던 은행인 경우가 많기 때문에 쉽게 속을 수 있다.
▲메신저피싱의 실제 대화 내용[자료=경찰청]
다음으로 메신저피싱의 주요 수법과 사례를 살펴보자. 메신저피싱의 주요 시나리오로는 먼저 사기범이 피해자에게 모르는 번호로 “엄마(아빠), 내 휴대폰 액정이 깨져서 임시번호로 연락했어, 액정보험 가입하면 공짜로 수리해준다는데 내 폰으로 인증이 안돼서 가족 명의로만 인증 가능해”라는 내용의 문자를 전송한다. 처음에는 문자로 대화를 나누다가 카카오톡 등 다른 메신저로 유도하기도 한다.
그 다음으로 “인증하려면 신분증과 신용카드 앞뒷면 사진, 계좌번호, 비밀번호가 필요하니까 알려줘, 신청이 잘 안 되네, 내가 컴퓨터로 엄마 폰 연결해서 해볼테니까 보내는 링크 누르고 설치해, 엄마가 폰 터치하면 처음부터 다시 해야하니까 가만히 놔둬”라고 말한다. 이때 말하는 링크는 사용자의 스마트폰에 원격제어 애플리케이션을 설치하는 링크다. 원격제어 앱은 본래 기업에서 고객의 PC나 모바일 기기에 원격으로 접속해 서비스를 지원하는 용도로 쓰이는 정상적인 앱이지만, 사기범이 피해자의 휴대전화를 조종해 계좌에서 자금을 이체하는 등의 용도로 악용되고 있다.
이렇게 사용자의 스마트폰에 앱이 설치되면 사칭범은 개인·금융정보와 원격제어 앱을 이용해 휴대전화 소액결제를 하고, 오픈뱅킹을 통해 피해자의 계좌 잔액을 이체하며, 대포폰·통장 개설 후 비대면 대출 등으로 돈을 편취한다.
경찰은 “보이스피싱 피해 대부분이 미끼문자와 악성 앱을 기반으로 발생하고 있는 만큼 출처를 알 수 없는 문자메시지의 인터넷 주소를 클릭하거나, 타인의 앱 설치 요구에 응해서는 절대 안 된다”며 “공공기관이나 금융기관 등을 사칭하는 전화를 받는 경우 반드시 전화를 끊고 해당 기관 또는 112로 신고해 보이스피싱 여부를 먼저 확인하는 습관을 들여야 한다”고 당부했다.
이어 금융감독원은 “메신저 피싱을 예방하기 위해서는 메시지에 첨부된 인터넷 주소를 클릭하지 않고, 답장 전에 반드시 전화통화를 통해 확인해야 한다”며 “어떠한 경우에도 신분증이나 계좌번호, 비밀번호 등의 개인정보를 제공해서는 안 된다”고 밝혔다. 이어 “신분증 제공 등을 통해 이미 범죄에 노출됐다면 금융회사에 피해를 신고하고 악성 앱을 삭제하거나 휴대전화를 초기화해야 한다”며 “경찰청 사이버수사대에 사건사고사실확인원을 발급받아 해당 금융회사에 3일 이내에 제출하면 피해금을 환급 신청할 수 있다”고 안내했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
