오랫만에 글을 쓰게 되는 것 같아요.. 진행중인 플젝의 디데이가 다가오고 있어서 해당 플젝에 좀 집중하고 있느라(집중이라 쓰고 삽질이라고 읽습니다..) 이번달 말까지는 글을 전처럼 자주 올릴 수 없을 것 같아요.. 그래서 이번에는 조금 쉬운 주제인 '피싱' 으로 가져왔습니다!!
일단, 피싱은 많은 분들이 알고 계시는 것과 같이 낚시! 입니다. 하지만 보안과 관련된 공부를 하다보면 피싱과 유사한 이름을 가진 파밍도 있고 스미싱, 스푸핑 등 여러가지의 언어가 나오게 되는데 몇몇 분들께서는 아마 여러가지가 합쳐진 것을 피싱으로 알고 계실거라고 생각됩니다:)
제가 쓴 글을 읽어보시고 피싱인지 파밍인지 명확하게 알게되셨으면 좋겠네요!
일단 피싱은 앞서 말씀드린 것과 같이 낚시와 개인정보의 합성어입니다.
피싱은 해커들이 개인정보를 빼내기 위해 여러 사람에게 중요한 기관인 것처럼 위장하여 메일에 특정 링크를 담아 보냅니다. 그 링크를 클릭하게 되면 클릭한 사용자에게 팝업과 같은 형태의 페이지가 뜨게 되는데 이 페이지에서는 개인정보를 입력하도록 유도합니다.
위의 설명을 보시고 어느점이 낚시와 비슷한지 눈치채셨나요?
낚시에서 미끼를 먹이인 것처럼 위장시키는 것이 해커가 중요 기관인 것처럼 위장하는 것과 닮아있고, 그 미끼를 먹이로 믿고 먹는 것은 중요 기관이 보낸 메일일 것이라는 생각으로 개인 정보를 제공하는 것과 닮아있습니다.
근데 그렇다면 어떻게 피싱인지 진짜 중요 기관들이 보낸 것인지 확인을 하는가? 라는 생각을 하게 되실텐데요 늘 은행에서 하는 말들 처럼 은행과 같은 중요 기관들은 절대로 사용자들에게 다수의 보안카드 입력을 요구하지 않습니다.와 여러 페이지에서 말하는 저희는 고객 여러분들의 비밀번호를 요구하지 않습니다. 를 떠올리시면 될 것 같습니다.
또한, 링크를 타고 들어갔는데 결제 유도창이 뜬다!의 상황이라면 결제를 하지 마시고 해당 서비스를 제공하는 곳에 문의를 해주시면 피싱을 당하실 확률을 더 줄일 수 있을 것 같습니다.
바로 전 포스팅의 워터링 홀 때도 말씀드렸지만 이메일을 통해 다운로드 받은 혹하는 제목의 파일과 은행과 같은 기관에서 보낸 것 같은 링크가 딸려있는 메일은 메일은 열어보시더라도 해당 파일과 링크는 절대로 클릭해서는 안된다는 사실을 잊지않으시면 좋을 것 같습니다.
이해가 안가시는 부분이 있거나 궁금하셨던 IT 관련한 것이 있다면 언제든지 알려주셔요:)
컴맹이신 분들도! 보안과 IT이슈를 쉽게 접하실 수 있었으면 좋겠습니다!