이스트시큐리티, 금융정보 탈취 시도하는 금융사 사칭 피싱 메일 주의 “금융사가 고객에 CVC코드나 카드 비밀번호 입력 요구하는 경우는 없어”
ⓒ뉴시스
최근 국내 유명 카드사를 사칭해 금융정보를 탈취하려는 피싱 메일 공격이 발견됐다. 이번 공격은 사용자가 자주 이용하는 금융 서비스를 사칭해 민감한 정보를 요구하는 수법으로, 각별한 주의가 요구된다.
27일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 공격자는 ‘중요사항: OO카드 계좌 컴플라이언스 검증’이라는 제목의 피싱 메일을 보냈다.
해당 메일에서는 보안정책 변경에 따른 신용카드 계정 정보 수정을 요구하는데 ‘계좌 정보가 수정되지 않으면 카드 계좌가 정지될 수 있다’는 내용을 담아 사용자 불안감을 유발한다.
만약 사용자가 모든 정보를 입력하고 ‘검증하기’ 버튼을 누르면, 입력된 정보는 그대로 공격자의 서버로 전송된다. 이후 공격자는 수집한 정보를 활용해 금융사기나 불법 거래를 시도할 수 있다.
ESRC 측은 “이번 공격은 ‘신용카드 계좌정보 검증’이라는 민감한 소재를 이용해 사용자의 금융정보를 노린 사례”라며 “특히, 금융사가 고객에게 CVC코드나 카드 비밀번호 입력을 요구하는 경우는 없다는 점을 기억해야 한다”고 당부했다.
◆“보안 수칙 준수하고, 의심스러운 이메일은 무조건 삭제하는 것이 피해 막는 첫걸음”
이러한 공격으로 인한 피해를 예방하기 위해서는 메일 발신자의 이메일 주소가 공식 금융사의 도메인과 일치하는지 반드시 확인해야 한다.
금융사는 카드번호와 CVC코드, 카드 비밀번호를 동시에 요구하지 않는다. 이러한 요청이 있다면 피싱을 의심하고 정보를 입력하지 말아야 한다.
마지막으로 피싱 메일로 인해 금융정보가 유출됐다고 의심될 경우, 즉시 해당 카드사 고객센터에 신고하고 카드 정보를 변경해야 한다.
[서울=뉴시스]