‘어벤저스’ 시리즈가 10년의 대장정을 마치면서 박스오피스 기록을 연일 갈아치우고 있다. 전 세계인으로부터 열광적인 성원을 받는 ‘어벤저스’를 사이버 공격자들이 외면할리 만무하다. ‘어벤저스 무료 온라인 시청’을 미끼로 한 피싱 공격이 성행하고 있다.
카스퍼스키랩에 따르면 10여개의 웹사이트가 이와 같은 광고 문구로 인터넷 사용자를 유인한 후 금전을 탈취하는 공격을 시도하는 것으로 나타났다. 사용자들이 이 사이트에 접속하면 동영상 플레이어 아이콘이 나오며, 이를 클릭하면 공식 예고편 영상 일부가 짧게 등장한다.
이후 동영상이 정지되고 CVV2 코드를 포함하는 은행 카드 정보를 요구하는 등록과 결제 페이지로 이동된다. 사이트에서는 이 절차가 온라인 봇 여부를 확인하는 과정이라고 안심시키는데, 사용자가 결제 정보를 작성하고 나면 범죄자는 이를 이용해서 사용자의 돈을 훔친다.
이창훈 카스퍼스키랩코리아 지사장은 “사회공학 기법은 사람들의 심리를 악용한다. 영향력이 크고 세계적으로 많은 팬들을 거느린 시리즈물은 완벽한 미끼다. 오랫동안 기다려온 영화를 누구보다 먼저 볼 수 있다면 스포일러나 표를 구하기 힘든 상황 등을 걱정할 필요가 없을 거라는 유혹에 굴복한 열성팬들은 보안 절차를 건너 뛰기도 합니다. 공격자들은 바로 그 점을 노린다”고 경고한다.
카스퍼스키랩에서는 피싱 범죄에 당하지 않기 위해 다음과 같은 사항을 유의할 것을 권고하고 있다.
- 자신이 모르는 사람 또는 조직의 이메일, 문자 메시지, 인스턴트 메시지 또는 소셜 미디어 포스트의 링크는 클릭하지 않는다. 개인 정보나 금융 정보를 요구하는 경우 주소가 이상하거나 의심스럽지 않은지 확인한다. 합법적인 웹사이트의 경우 ‘https’로 시작되는 주소를 가지고 있다.
- 피싱 범죄자들은 사람들의 심리를 악용한다. 벌금이나 기타 처벌이 적용될지도 모른다는 경고 등 협박하는 듯한 내용을 담고 있는 메시지, 즉각적인 조치를 요구하거나 지나치게 자세한 개인 정보, 관련이 없어 보이는 정보를 요구하는 메시지, 현실적으로 말이 안 되게 좋은 제안을 담은 메시지는 피싱 범죄의 미끼일 수 있으니 주의한다.
- 온라인 엔터테인먼트 전용으로 사용할 별도의 은행 카드 또는 계좌를 만들고 적은 양의 금액만 넣어둔다. 그러면 은행 정보가 누출되더라도 심각한 재정적 손실은 피할 수 있다.
- 광범위한 위협을 막아주는 종합적인 보호 서비스를 받으려면 ‘카스퍼스키 인터넷 시큐리티’와 같이 신뢰할 수 있는 보안 솔루션을 사용하는 것이 좋다.
