SNS 이벤트 사칭해 사용자 개인정보 노린 공격 급증
실제 공식 SNS 계정과 유사한 아이디 생성... 프로필 사진까지 동일하게 설정해
[보안뉴스 원병철 기자] 최근 SNS 이벤트를 사칭해 사용자 개인정보 노린 공격이 급증하고 있어 사용자의 주의가 요구된다고 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 밝혔다.
SNS를 통해 사용자들의 이벤트 참여를 유도하는 기업 및 단체들이 증가하고 있다. 실제로 많은 기업과 단체들이 SNS 팔로우를 하고 댓글을 다는 방식을 통해 사용자들의 이벤트 참여를 유도하며, 당첨자들에게는 개인 메시지를 통해 당첨사실을 알려주고 있다.
이러한 기조에 발맞춰, 최근 SNS를 통한 개인정보 유출을 시도하는 공격들이 급증하고 있어 사용자들의 각별한 주의가 필요하다. 공격자는 SNS 계정을 실제 공식 SNS 계정들의 아이디와 매우 유사하게 생성하고, 프로필 사진 역시 사칭하고 있는 공식 계정의 사진과 동일하게 설정해 놓아 사용자로 하여금 공식 계정인 것처럼 착각하도록 유도한다.
특히 아이디의 경우 ‘_’를 ‘.’으로 바꾸거나, ‘official’을 ‘offiicial’로 교묘하게 바꿔 사용자들이 구분하기 어렵게 만든다. 또한 프로필에는 ‘우승자 선정, 당첨이 되신것을 축하드립니다’라는 문구를 작성해 놓아 사용자로 하여금 실제로 이벤트에 당첨 안내 계정인 것처럼 위장한다.
이후 공격자는 해당 계정을 이용해 불특정다수 사용자들에게 인스타그램 이벤트에 당첨되었다는 DM을 전송하며 특정 페이지 접속을 유도한다. 이때, 악성 링크는 사칭하고 있는 인스타그램 프로필에 포함되어 있거나, 혹은 당첨되었다는 DM 메시지에 포함이 되어 있다.
인스타그램 이벤트 참여를 많이 하는 사용자라면 쉽게 속을 수 있기 때문에, 특히 주의가 요구된다. 만일, 사용자가 해당 메시지를 실제 당첨 메시지로 오인해 링크를 클릭해 접속하면, 특정 사이트로 접속이 되며 사용자에게 계정정보 및 신용카드 정보 입력을 유도한다.
ESRC는 “이러한 메시지를 받은 사용자들은 링크 접속을 하면 안된다”면서, “보통 이벤트에서 개인정보 및 신용카드 정보와 같은 민감 정보를 요구하는 경우는 없다는 점을 반드시 기억하라”고 조언했다.
[원병철 기자(boanone@boannews.com)]
실제 공식 SNS 계정과 유사한 아이디 생성... 프로필 사진까지 동일하게 설정해
[보안뉴스 원병철 기자] 최근 SNS 이벤트를 사칭해 사용자 개인정보 노린 공격이 급증하고 있어 사용자의 주의가 요구된다고 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 밝혔다.
▲공식 SNS 계정 사칭 계정[자료=ESRC]
SNS를 통해 사용자들의 이벤트 참여를 유도하는 기업 및 단체들이 증가하고 있다. 실제로 많은 기업과 단체들이 SNS 팔로우를 하고 댓글을 다는 방식을 통해 사용자들의 이벤트 참여를 유도하며, 당첨자들에게는 개인 메시지를 통해 당첨사실을 알려주고 있다.
이러한 기조에 발맞춰, 최근 SNS를 통한 개인정보 유출을 시도하는 공격들이 급증하고 있어 사용자들의 각별한 주의가 필요하다. 공격자는 SNS 계정을 실제 공식 SNS 계정들의 아이디와 매우 유사하게 생성하고, 프로필 사진 역시 사칭하고 있는 공식 계정의 사진과 동일하게 설정해 놓아 사용자로 하여금 공식 계정인 것처럼 착각하도록 유도한다.
▲메시지를 통해 유포되는 문구[자료=ESRC]
특히 아이디의 경우 ‘_’를 ‘.’으로 바꾸거나, ‘official’을 ‘offiicial’로 교묘하게 바꿔 사용자들이 구분하기 어렵게 만든다. 또한 프로필에는 ‘우승자 선정, 당첨이 되신것을 축하드립니다’라는 문구를 작성해 놓아 사용자로 하여금 실제로 이벤트에 당첨 안내 계정인 것처럼 위장한다.
이후 공격자는 해당 계정을 이용해 불특정다수 사용자들에게 인스타그램 이벤트에 당첨되었다는 DM을 전송하며 특정 페이지 접속을 유도한다. 이때, 악성 링크는 사칭하고 있는 인스타그램 프로필에 포함되어 있거나, 혹은 당첨되었다는 DM 메시지에 포함이 되어 있다.
▲개인정보 입력을 유도하는 페이지[자료=ESRC]
인스타그램 이벤트 참여를 많이 하는 사용자라면 쉽게 속을 수 있기 때문에, 특히 주의가 요구된다. 만일, 사용자가 해당 메시지를 실제 당첨 메시지로 오인해 링크를 클릭해 접속하면, 특정 사이트로 접속이 되며 사용자에게 계정정보 및 신용카드 정보 입력을 유도한다.
ESRC는 “이러한 메시지를 받은 사용자들은 링크 접속을 하면 안된다”면서, “보통 이벤트에서 개인정보 및 신용카드 정보와 같은 민감 정보를 요구하는 경우는 없다는 점을 반드시 기억하라”고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>