피싱사이트 조심하세요, http://playm3.cc/

 얼마 전부터 블로그에 스팸 댓글을 다는 사이트가 하나 생겼다. http://playm3.cc 라는 사이트다.

╋▶ mgame에서 바둑이,포카,맞고 즐기세요
* 컴퓨터가 있는곳이라면 언제 어디서든 편하게 즐기세요~
* 게임이 끝나면 게임머니 통장으로 바로 송금해드립니다.
* 바둑이 고액방활성~유져없으면 100%환불 드립니다.
* 불법프로그램 실시간차단!!! 믿음,신용,안전 100% 보장드립니다.
* 자연패로 진행하므로 왠만하면 그동안 머니 100% 복구 자부합니다.
* 동시접속자 1000명이상 , 최고의 승률을 자랑하고 있습니다.
* 진정으로 게임을 즐기시는 유저분들께 권해드립니다.
♠ 게임장 주소 입니다.
http://playm1.cc
http://playm2.cc
http://playm3.cc
♠ 회원가입 ⇒ (추)(천)(인)만 적으세요
(추)(천)(인) 아이디 : race4444
[(추)(천)(인)만 기입하면 자동으로 ID/PW자동생성]

 지워도 지워도 계속 달기에 한 번 가봤다. 너무 화가 나서 항의를 하기 위해서 방문을 한 것이다. 근데 뭔가 이상하다. 게임&도박 사이트 치곤 너무 허술한 것이다. 직감적으로 피싱 사이트임을 알았다. 사실 피싱사이트를 두 눈으로 직접 확인한 것은 이번이 처음이다.

pishing 
▲ 피싱 사이트의 전형적인 예


 나름 공을 들였느니지 메인에 있는 주요 게임은 gif로 처리해서 움직인다. 하지만 마우스를 드래그 해보면 하나의 이미지로만 구성된 사이트임을 알 수 있다. 펼침메뉴, 검색버튼 등 모든 것이 이미지다. 허술하게 만들어져 있기에 누구나 이상함을 느겼을 수도 있을 것이다. 하지만 별생각없이 회원가입을 했다간 큰일 날수가 있다. 주민등록번호가 유출될 수 있기 때문이다.

image 

image 
▲ 회원가입을 통해 주민번호를 빼내려함

 실제로 로그인도 되지 않았다. 100% 피싱 사이트인 것이다. 피싱 사례가 점점 증가하고 있다. 개인정보의 유출은 명의도용 등의 피해를 야기할 수 있다.  신분 확인 절차만 거친다면 온라인에서도 오프라인과 동일하게 상거래, 금융 거래 등을 할 수 있는 것이다. 그 신분 확인의 첫 단계가 이름과 주민번호이다. 사이트 등을 가입할 때 함부로 알려줄 수 있는 정보가 아니다.

 사실, 많은 사이트 들이 필요 이상으로 주민번호와 같은 신상 정보를 요구 하고 있다. 관리도 잘 안될뿐더러, 사이트가 폐쇄되더라도 자신의 정보가 어떻게 처리되었는지 알 길이 없다. 주민번호를 요구하지 않는 사이트가 점점 늘어나곤 있지만, 여전히 많은 사이트에서 주민 번호를 복수 가입 방지용으로 사용하고 있는 실정이다.

 정부에서 주민번호를 대채할 아이핀(i-PINㆍInternet Personal Identification Number)과 같은 아이디를 냈지만, 사실상 실폐했다. 또다른 주민번호에 불과하기 때문이다. 개인적인 생각이지만, 오픈 아이디의 도입이 확산되었으면 한다. 인증(Authentication)과 허가(Authorization)를 분리시킨 모델이 빨리 확산 되길 기대한다.

 오픈 아이디를 발급은 http://www.myid.net 에서 가능하다.

 피싱(Phishing)

컴퓨팅에서, 피싱(영어: phishing, carding 카딩, spoofing 스푸핑)은, 전자우편 또는 메신저를 사용해서 신뢰할 수 있는 사람 또는 기업이 보낸 메시지인 것처럼 가장함으로써, 비밀번호신용카드 정보와 같이 기밀을 요하는 정보를 부정하게 얻으려는 social engineering의 한 종류이다. ‘피싱’이란 용어는 점점 더 복잡한 미끼들을 사용해서 사용자의 금융 정보와 패스워드를 ‘낚는’다는 데서 유래되었다.

피싱 사고에 대한 신고가 늘어감에 따라, 피싱을 막으려는 방법들이 필요하게 되었다. 이런 방법들에는 , 사용자 교육, 그리고 기술적인 도구들이 있다. 최근에는 컴퓨터를 이용한 피싱외에도 보이스피싱(Voice Fishiing)이라고 하여 전화를 이용한 피싱도 등장하고 있다.

피싱 특징

  • 메일을 이용해서 신뢰할 수 있는 메일 주소로 가장한다. 피싱 메일은 대부분 송신자를 사칭 하고 있다. 예를 들어 사기꾼이 시티은행인 것으로 속인다면, 이 경우는 「info@citi.com」와 같이 정상적인 메일 주소로 가장해서 무작위로 보낸다.
  • 신용카드 번호나 패스워드 입력을 요구한다. 피싱 사기꾼의 최종 목적이다. 이러한 정보를 입력해서는 절대로 안 된다.
  • 백신 소프트웨어에 검출되지 않는다. 피싱 사기의 경우 아무런 특색 없는 단순한 메일 형태로 첨부파일등이 없는 HTML 메일로서 URL을 숨길 수 있기 때문이다. 첨부파일이나 취약성을 공격하는 HTML 메일은 피싱과 구별된다.
  • 웹 사이트를 만드는 기술 이외는 특별한 기술은 아무것도 필요가 없다. 피싱 사기를 하는 방법으로 웹사이트를 만들고 메일을 보낸다. 기술이라고 해봤자 웹사이트를 작성하는 기술 뿐이기 때문에 누구라도 만들 수 있다. 대기업 사이트와 비슷하게 만드는 것도 그리 어렵지 않기 때문에 실제 웹사이트로 부터 HTML 소스와 사진을 가져올 수 있다.

추천 링크


위 3 단락은 http://enc.daum.net/dic100/contents.do?query1=10XXX42630 을 참고 하였다.