<보안메일> 무역대금 가로채는 이메일 사기, '스피어피싱' 이란?




경기남부지방경찰청 사이버안전과, 예방 컨텐츠 제작해 무역협 등 집중 홍보


2016년 4월, 국내 굴지의 대기업에서 이메일 무역사기로 240억 원의 피해를 입은 사실이 알려지면서 대기업 및 중소 무역업체들에게 '스피어피싱(Spear Phishing)' 주의보가 내려진 상황이다.


1. '스피어피싱' 이란?

● 특정인을 대상으로 이들의 개인정보를 캐내기 위한 피싱 공격을 지칭.

● 물 속에 있는 물고기를 작살로 잡는 '작살 낚시 (spear-fishing)' 에 빗댄 것. 


2. 최근 피해 사례

2016년 4월, 모 기업에서는 납품 대금 계좌가 변경되었다는 가짜 이메일을 받고, 신중한 확인 절차 없이 변경된 범죄 계좌로 240억 원을 이체하는 금융사기 발생.


3. 전형적인 유형

STEP 01 A무역회사 이메일 서버 해킹 또는 특정인에게 악성코드가 담긴 이메일 발송

STEP 02 해킹 (악성코드) 에 의해 A의 PC에서 거래 업체 및 거래 정보 등 내부 자료 유출

STEP 03 A의 PC에서 확인한 정보로 거래업체 B에 허위 이메일 발송

▷ 평소 거래 내역, 결재 내역 등 기존의 거래 내역을 토대로 대금 요청

STEP 04 A 무역회사에서 보낸 이메일로 착각한 메일 수신자 (거래업체 B) 는 이메일에 적힌 계좌로 송금


4. 예방법

① 발송 메일 주소의 변조 여부 철저하게 확인

② 계좌 변경과 관련된 메일 수신 시, 상대 업체에 유선으로 재확인

③ 업무 PC와 보안 업데이트 및 최신 버전의 백신으로 업그레이드

현재 사용 중인 이메일 서비스 자체의 보안 기능 확인 및 적극적 활용


현재 경기남부지방경찰청 사이버안전과에서는 유사한 수법의 스피어피싱 예방을 위한 콘텐츠를 지속적으로 제작해 관내 무역협회와 상공회의소 등을 대상으로 집중 홍보하고 있다.








저작자 표시 비영리 변경 금지
신고

태그

이전 글

*

*

티스토리 툴바