2019년 6월 12일 (수) 12:07 판 편집 221.168.30.18 (토론) 내용을 "* *{{언어링크\|en}} [https://web.archive.org/web/20061111185544/https://protect.login.yahoo.com/login/set_pref/ 미국 야후 안티피싱 시험서비스] {{전..."(으)로 바꿈 태그: 대체됨 시각 편집 ← 이전 편집		2019년 6월 12일 (수) 13:09 판 편집 편집 취소 183.101.189.117 (토론) InternetArchiveBot의 마지막 판으로 되돌림 다음 편집 →
1번째 줄: [[컴퓨팅]]에서, '''피싱'''({{lang\|en\|phishing}})은 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, [[비밀번호]] 및 [[신용카드]] 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’(phishing)이란 용어는 [[낚시\|fishing]]에서 유래하였으며 private data와 fishing의 합성어이다<ref>{{웹 인용 * \| 제목=Spam Slayer: Do You Speak Spam? {{언어링크\|en}} [https://web.archive.org/web/20061111185544/https://protect.login.yahoo.com/login/set_pref/ 미국 야후 안티피싱 시험서비스]▼ \| work=PCWorld.com \| url=http://www.pcworld.com/article/id,113431-page,1/article.html \| accessdate= 2006년 8월 16일}}</ref> (phreaking에서 영향을 받았을 것으로 추정)<ref>{{웹 인용 \| title=Phishing, n. OED Online, March 2006, Oxford University Press. \| work=Oxford English Dictionary Online \| url=http://dictionary.oed.com/cgi/entry/30004304/ \| accessdate= 2006년 8월 9일}}</ref><ref>{{웹 인용 \|제목 = Phishing \|work = Language Log, September 22, 2004 \|url = http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html \|accessdate = 2006년 8월 9일 \|archiveurl = https://www.webcitation.org/5w9YATyHM?url=http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html# \|archivedate = 2011-01-31 \|deadurl = 아니오 }}</ref>, 즉 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다. 피싱 사고에 대한 신고가 늘어감에 따라, 피싱을 막으려는 방법들이 필요하게 되었다. 이런 방법들에는 [[법]], 사용자 교육, 그리고 기술적인 도구들이 있다. 최근에는 컴퓨터를 이용한 피싱외에도 [[보이스피싱]](voice phishing)이라고 하여 전화를 이용한 피싱도 등장하고 있다. == 기법 == === 피싱 종류 === 스피어 피싱(spear phishing): 특정한 개인이나 회사들을 대상으로 시도하는 피싱을 스피어 피싱이라고 한다.<ref>{{웹 인용 \|title=What is spear phishing? \|work=Microsoft Security At Home \|url=http://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx \|accessdate=June 11, 2011 \|보존url=https://web.archive.org/web/20110806061136/http://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx# \|보존날짜=2011-08-06 \|깨진링크=예 }}</ref> * 클론 피싱(clone phishing): 링크나 첨부 파일이 포함된, 과거에 전달된 적법한 이메일에 거의 동등하거나 복제된 이메일을 만드는데 사용되는 수신자 주소와 내용이 포함되어 있는 경우이다. * 웨일링(whaling): 여러 피싱 공격이 고위 경영 간부와 비즈니스 내 기타 고위직을 대상으로 이루어졌으며 웨일링이라는 용어는 이러한 종류의 공격을 뜻한다.<ref>{{웹 인용\|url=https://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/. \|title=Fake subpoenas harpoon 2,100 corporate fat cats \|accessdate=April 17, 2008 \|publisher=The Register \|archiveurl=https://www.webcitation.org/5w9YcgvUb?url=https://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/ \|archivedate=January 31, 2011 \|deadurl=no \|df=mdy }}</ref> == 특징 == * '''[[전자 우편\|메일]]을 이용해서 신뢰할 수 있는 메일 주소로 가장한다.''' 피싱 메일은 대부분 송신자를 사칭 하고 있다. 예를 들어 사기꾼이 [[시티은행]]인 것으로 속인다면, 이 경우는 「info＠citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다. * '''신용카드 번호나 패스워드 입력을 요구한다.''' 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다. * '''백신 소프트웨어에 검출되지 않는다.''' 피싱 사기의 경우 아무런 특색 없는 단순한 메일 형태로 첨부파일등이 없는 [[HTML]] 메일로서 [[URL]]을 숨길 수 있기 때문이다. 첨부파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별된다. * '''웹 사이트를 만드는 기술 이외의 특별한 기술은 아무것도 필요가 없다.''' 피싱 사기를 하는 방법으로 웹사이트를 만들고 메일을 보낸다. 기술이라고 해봤자 웹사이트를 작성하는 기술 뿐이기 때문에 누구라도 만들 수 있다. 대기업 사이트와 비슷하게 만드는 것도 실제 웹사이트로부터 HTML 소스와 사진을 가져올 수 있기 때문에 그렇게 어렵지 않다. == 피싱 메일의 구별 유형 == * 유명은행, 카드사 등을 사칭하며 계좌번호, 카드번호, 비밀번호 등의 확인 또는 갱신을 유도하거나 이러한 조치를 취하지 않을 경우 거래가 중지된다는 식의 소란을 일으키거나 자극적인 문구를 사용한다. * 포털사이트나 쇼핑몰 등을 사칭해 경품당첨안내나 이벤트 참가 등을 유도하며 주민번호, 핸드폰번호 등의 개인정보를 입력하도록 유도한다. == 사례 == {{세계화 문단\|미국\|날짜=2016-11-27}} 2003년 11월 17일 미국의 [[이베이]] 사이트 에서 '보안상의 위험으로 계정이 차단됐으니 재등록해야 한다"는 메일을 고객들이 수신하여 첨부된 링크를 클릭해 이베이 웹페이지로 가서 바로 재등록하라고 친절하게 설명되어 있어 의심없이 개인정보와 금융정보를 피셔에게 넘겨주는 피해가 발생했다. == 예방 == 안랩에 따르면 예방법은 다음과 같다. # 메신저 비밀번호는 주기적으로 변경한다. # 사용하지 않는 메신저 계정이나 버디 리스트는 삭제한다. # 단기적인 목적으로 가입한 사이트는 사용 후 탈퇴한다. # 각 웹사이트의 아이디와 비밀번호는 가급적 다르게 설정, 관리한다. # 메신저를 최신 버전으로 업데이트하고 보안 기능을 최대로 설정, 이용한다. # 보안백신을 설치, 주기적으로 업데이트하고 바이러스 검사를 실시한다. # 메신저 피싱이 의심될 경우 즉각 버디들에게 알리고 송금중지를 요청하며 경찰, 은행에 신고 조치한다. # 메신저를 통한 금전 요청시 전화로 본인여부를 확인하고 타인 명의 통장으로 송금하지 않는다. # 사용하는 인터넷 브라우저는 최신 버전으로 업데이트하고 보안기능을 습득, 적극 활용한다. # 공용PC 이용시 보안검사를 실시하며 이용 후 반드시 로그아웃 버튼을 누르고 창을 닫는다. 그 외의 예방법은 다음과 같다. * 신용할 수 없는 메일의 [[하이퍼링크\|링크]]를 클릭하지 않는다. * 의심스러운 점이 있으면 직접 사이트를 방문한다. * 메일 헤더를 확인한다. * 링크의 주소가 [[IP 주소]]인지 [[도메인 이름\|도메인]]인지 확인한다. IP일 경우 피싱 사이트일 가능성이 있음. == 신고 방법 == {{세계화 문단\|날짜=2010-12-17\|대한민국}} 피싱이라고 의심되는 메일을 받았을 경우 해당 은행, 카드사, 쇼핑몰에 신고하거나 [[대한민국]]의 경우 [[한국정보보호진흥원]] (02)-1336 또는 (02)-118에 신고한다. == 함께 보기 == * [[낚시 (인터넷)]] * [[지능적지속가능위협]]([[:en:Advanced Persistent Threat]], APT) * [[해킹]] * [[레드 해커]](훙커) * [[블랙햇 해커]] * [[화이트햇 해커]] * [[그레이햇 해커]] * [[피싱프리]] 파밍 ==참고문헌== 최창수, 미국이 온라인 피싱사기방지법과 시사점-피해자보호를 중심으로 == 참조 == {{각주}} == 외부 링크 == * [http://www.kisa.or.kr/ 한국인터넷진흥원(예전 한국정보보호진흥원)] * [http://www.krcert.or.kr/ 인터넷침해사고대응센터] * {{언어링크\|en}} [https://web.archive.org/web/20031122084808/http://antiphishing.org/ 안티피싱워킹그룹, 피싱추방단체] * {{언어링크\|en}} [http://www.antiphishing.org/reports/200606_KoreaPhishingActivityReport_Jun2006.pdf Korea Phishing Activity Trends Report June 2006 PDF] ▲* {{언어링크\|en}} [https://web.archive.org/web/20061111185544/https://protect.login.yahoo.com/login/set_pref/ 미국 야후 안티피싱 시험서비스] {{전거 통제}}

피싱: 두 판 사이의 차이