사기꾼은 고급 피싱 이메일 작성 기술을 사용하여 사람들의 신용 카드 정보를 훔칩니다.
최근 보안 연구원들이 Netflix 사용자를 대상으로 하는 새로운 피싱 캠페인을 발견했습니다. "귀하의 Netflix 멤버십이 보류 중입니다"라는 제목의 정교한 이메일은 사용자에게 결제 정보를 다시 확인해야 하며 계정이 보류 중임을 경고합니다. 다시 올바르게 사용할 수 있도록 사용자는 자격 증명과 신용 카드 세부 정보를 입력하도록 요청하는 공식 Netflix 웹 사이트 사본으로 이동됩니다.
피싱 이메일은 새로운 현상이 아니며, 주요 브랜드 또는 유명 회사가 한동안 악용되었습니다. 시간이 지남에 따라 사용자는 맞춤법 및 문법 오류 및 가짜처럼 보이게 만드는 기타 기능으로 가득 찬 이러한 사기에 적응하고 인식하는 방법을 배웠습니다. 그럼에도 불구하고 이러한 사이버 범죄자들은 훨씬 더 발전된 이메일 작성 기술과 겁주는 전술을 사용하고 있습니다.[1] 이 사기를 더 믿을 수 있게 만들기 위해.
가장 큰 비디오 스트리밍 제공 업체 중 하나 인 Netflix가 대상 회사 중 하나라는 것은 놀라운 일이 아닙니다. 회사가 사이버 범죄자("계정 비활성화" 피싱)에 집중한 것은 이번이 처음이 아닙니다. 공격[1] 작년에 출시). 또한 나쁜 배우들은 사용자가 Netflix가 제공하는 서비스를 좋아한다는 사실과 자신이 좋아하는 프로그램을 볼 수 없다는 생각에 압도된다는 사실을 남용하고 있습니다.
사기가 작동하는 방식
피싱 이메일은 스마트 형식과 영리한 소셜 엔지니어링을 사용합니다.[2] 기술. 사기꾼은 메시지 끝에 동일한 색상, 동일한 브랜드 및 "Netflix 지원 팀" 서명을 사용하여 합법성을 모방합니다. 사기 이메일의 내용은 다음과 같습니다.
귀하의 정지 알림
안녕하세요 #name#님,
구독의 다음 결제 주기에 대한 결제 정보를 확인할 수 없으므로 48시간 이내에 응답을 받지 못하면 멤버십이 일시 중지됩니다.
분명히 우리는 당신을 다시 만나고 싶습니다. 멤버십 다시 시작을 클릭하여 세부 정보를 업데이트하고 중단 없이 모든 최고의 TV 프로그램 및 영화를 계속 즐기십시오.
멤버십 다시 시작
필요한 경우 도와드리겠습니다. 자세한 내용은 도움말 센터를 방문하거나 당사에 문의하십시오.
-넷플릭스 팀
이메일을 보낸 사람은 뭔가 수상하다는 명백한 신호입니다. 그러나 피해자가 계정에 액세스할 수 없다는 사실만으로도 이러한 모든 위험 플래그를 무시하고 "멤버십 다시 시작" 버튼을 클릭하기에 충분할 수 있습니다.
그런 다음 사용자는 "안전함"이라는 보안 인증서가 있는 유사한 Netflix 공식 페이지로 이동합니다. 사용자는 종종 그 작은 녹색 자물쇠 표시를 신뢰하고 사기의 신뢰성을 높입니다. 해커는 Https에 대해 Let's Encrypt 인증 기관을 사용합니다.[3] 보안 인증서.
그런 다음 사용자는 이름, 전화번호, 주소, 생년월일 및 신용 카드 정보를 입력하라는 메시지가 표시됩니다. 그런 다음 가짜 웹사이트는 피해자에게 "계정 정보가 업데이트되었으며 중단 없이 Netflix를 사용할 수 있습니다"라고 알립니다. 같은 페이지에서 사용자는 링크를 클릭하여 공식 Netflix 웹사이트로 이동할 수 있습니다. 그동안 그들은 사이버 범죄자들이 자신의 개인 정보를 도용했다는 사실을 모르고 있습니다.
온라인 안전 유지 – 사기 및 기타 사이버 위협 방지
도둑이 합법적으로 보이는 사기 이메일과 웹사이트를 만드는 것을 멈추지 않을 것이며, 이는 Netflix에만 영향을 미치지 않을 것입니다. 5월 25일 일반 데이터 보호 규정이 시행됨에 따라 많은 회사에서 개인 정보 보호 정책을 업데이트하고 사용자에게 이러한 변경 사항을 알리고 있습니다. 악의적인 행위자는 신속하게 대응하여 GDPR 변경 혐의에 대해 셀 수 없이 많은 이메일을 보내 사용자에게 개인 정보를 입력하도록 요청합니다.[4]
보안 침해가 증가함에 따라,[5] 랜섬웨어 공격 및 피싱 사기, 사용자는 가상 보안이 보장되는지 확인해야 합니다. 의심스러운 이메일에 대한 기본 제공 보안 소프트웨어 경고를 무시하지 마십시오. 또한 강력한 맬웨어 방지 소프트웨어를 다운로드하여 설치하십시오. 마지막으로, 당신에게 던져지는 모든 것을 신뢰하지 마십시오. 필요한 경우 자격 증명을 얻으려는 회사에 이메일을 보내 합법적인지 확인하십시오.