"준정부기관 사칭 피싱메일 유포…링크 연결후 비번 입력 금물"
안랩 "중기진흥공단 '고비즈코리아' 로그인 화면 위장…계정 정보 탈취"
(서울=연합뉴스) 임은진 기자 = 비영리 정부 기관을 사칭한 피싱 메일이 유포되고 있어 주의가 요구된다.
11일 안랩[053800]에 따르면 최근 중소벤처기업진흥공단에서 서비스하는 '고비즈코리아'의 로그인 화면을 위장한 피싱 메일이 유포된 정황이 포착됐다.
'바이어스 인콰이어리'(Buyer's Inquiry)라는 제목의 이 이메일에는 구매자의 새로운 문의가 등록됐다면서 본문에 포함된 다섯 개의 하이퍼링크 중 하나를 클릭하라고 주문하고 있다.
하이퍼링크를 통해 웹페이지에 접속하면 '고비즈코리아'의 로그인 페이지처럼 위장한 웹페이지로 연결된다.
만일 사용자가 비밀번호를 입력 후 로그인 버튼을 누르면 공격자는 자신의 서버로 사용자의 계정 정보를 빼낸다.
공격자는 이렇게 탈취한 정보를 어뷰징(중복 전송)에 이용하거나 판매한다.
안랩은 "일반적으로 사용자들이 대부분의 웹사이트에서 같거나 비슷한 비밀번호를 사용하는 점을 악용하기 때문에 사용자들의 주의가 더욱 요구된다"고 강조했다.
이어 "피싱 메일의 공통점을 보면 그 교묘함에서 정도 차이는 있으나 일반적으로는 메일 내 첨부 파일이나 링크를 통해 연결되는 페이지에서 사용자 계정을 추가로 요구한다는 것"이라며 "웹페이지에 직접 접속을 하는 방법이 아닌 계정 정보를 추가로 입력해야 하는 페이지에서 사용자 정보 입력은 우선 지양해야 한다"고 당부했다.
engine@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스