사이버안전센터 운영

다가오는 명절, 연말정산 스미싱 주의
제목 다가오는 명절, 연말정산 스미싱 주의
작성자 사이버보안팀 등록일 2024-01-22 조회수 108
내용

최근 3년간 탐지된 스미싱 문자 현황 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C5.png

스미싱


스미싱은 문자메시지인 SMS와 피싱의 Pishing의 합성어로, 악성 앱 주소가 포함된 문자 메시지를 대량으로 전송하여 사용자를 속이고 개인정보를 탈취하거나 악성 앱을 설치시키는 사기 수법을 의미합니다. 스미싱은 주로 문자메시지를 통해 이뤄지며, 악성 앱을 설치시키기 위한 인터넷 주소가 문자메시지에 포함되어 있습니다. 인터넷 주소 링크를 클릭하면 앱 설치 파일인 APK로 연결되어 악성 앱이 설치가 됩니다. 이를 통해 소액결제를 유도하거나 개인정보를 빼내게 되어 금융 피해를 입을 수 있습니다. 공격은 해마다 꾸준히 증가하고 있으며, 일상생활이나 사회적 이슈와 관련된 주제는 넘치기 때문에 시기에 맞는 그럴듯한 메시지만 있으면 준비는 끝납니다. 특히 명절이나, 종합 소득세 신고 기관과 같은 특정 기간에 피해 사례가 증가하는 경향을 보이고 있습니다. 명절 기간에는 택배로 선물을 주고받는 빈도와 물량이 늘어나 택배가 지연됨에 따라 배송 일정을 궁금해하는 고객들의 심리를 악용한 사례가 많고, 직장인 연말정산 조회 기간은 보통 설 명절 전후여서 3월 급여에 포함되는 금액을 미리 확인해 보고자 하는 직장인의 심리를 악용한 사례가 많습니다. 

스미싱 공격의 흐름 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C22.png 

스미싱 공격 분석 


공격자는 광범위한 전화번호 목록을 사용하여 무작위로 선택하거나, 이전 침해에서 얻은 데이터 또는 다크웹에서 판매된 정보들을 기반으로 스미싱 문자를 보낼 대상을 정합니다. 공격자는 긴급성, 두려움, 호기심과 같은 특정 감정이나 반응을 불러일으키는 사기성 문자 메시지를 만듭니다. 메시지 내용 안에는 링크 클릭, 연락 바람 등과 같은 유도문이 포함됩니다. 공격자는 SMS 게이트웨이, 스푸핑으로 감염된 장치 등을 사용하여 대상에게 스미싱 메시지를 보냅니다. 피해자는 메시지를 받고 공격자가 바라는 대로 메시지 내용에 포함된 링크를 클릭하거나 공격자에게 전화를 걸게 될 경우 여러가지 결과가 발생 할 수 있습니다. 피해자는 개인 또는 금융 데이터를 입력하는 사기성 웹 사이트를 방문하거나, 장치에 악성 소프트웨어를 다운로드 할 수도 있습니다. 특정 번호로 전화를 걸 경우 공격자는 피해자에게 정보 제공을 요청하거나 요금을 부과하도록 속일 수 있습니다. 원하는 정보를 손에 넣으면 공격자는 신원 도용, 무단 거래, 다크웹에서 데이터 판매, 또는 얻은 데이터를 통해 추가적인 공격을 할 수 있습니다.  

스미싱 문자 사례(출처 : 과기정통부)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C32.png
연말정산 환급금 관련 스미싱(출처 : 중부일보) 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C41.png
 

설날을 노린 스미싱 


명절 기간에는 주소가 확인되지 않아 반송되니 확인을 바란다는 문자와 송장 번호 주소 불일치로 물품을 보관 중이라는 문자, 미수령 택배가 있으니 확인하라는 문자 등 택배 회사를 사칭하는 스미싱 공격이 많습니다. 그리고 백화점과 마트에서 할인 행사와 이벤트를 많이 열어 이런 특징을 활용한 명절 선물로 모바일 상품권을 보내드리니 확인 바란다는 문자와 명절 선물 할인쿠폰 지급이 되었으니 확인 바란다는 문자 등의 스미싱 공격이 있습니다 



연말정산을 노린 스미싱

  

발신자를 국세청으로 속여 연말정산 관련 문자를 전송하였으니 첨부한 인터넷 주소를 확인하라는 내용으로 인터넷 주소는 국세청을 사칭하는 피싱 사이트 주소이고 해당 사이트에서 공제 대상 조회를 목적으로 개인정보를 입력하라고 유도하는데, 이때 공격자는 사용자의 개인정보를 빼앗습니다. 관련 스미싱 종류로는 연말정산 모바일 앱 사칭, 누락된 국세청 연말정산 환급금 결과 조회 사칭, 연말정산세금 절약 노하우 사칭 등의 스미싱 공격이 있습니다 

결론

스미싱 피해는 자신 뿐만 아니라 자신의 주소록에 있는 사람들에게 까지 2차적인 피해를 입힐 수 있기 때문에 주의하여야 합니다. 전화 목소리를 통해 접근하는 보이스 피싱과는 달리 스미싱은 문자로만 진행되는 사기 수법이고, 피해자의 방심과 무지에서 비롯되어 공격에 대비하기 위해서는 일상에서도 의심을 가지고 메시지를 처리하고 수신자의 보안 의식 수준을 높이는 꾸준한 교육과 훈련이 필요합니다.



스미싱으로부터 보호하는 방법 


• 출처가 불명확한 URL 또는 전화번호를 클릭하지 않습니다. 


• 앱 다운로드는 링크로 받지 않고, 출처를 알 수 없는 앱이 함부로 설치되지 않도록 스마트폰의 보안설정을 강화 합니다. 


• 백신프로그램을 설치하여 업데이트 및 실시간 감시 상태를 유지합니다. 


• 개인정보 및 금융정보를 요구하는 경우, 입력하거나 알려주지 않습니다. 


• 상대방이 개인 및 금융정보, 금전, 앱 설치 요구 시 반드시 전화와 영상통화 등으로 상대방을 정확히 확인합니다.


이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.  
이전 글&다음 글
이전 글 비즈니스 이메일 침해 공격인 BEC공격
다음 글 조심하세요, 낮은 성공 확률로 벌어지는 크리덴셜 스터핑


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.3점 / 20명 참여