사기 웹사이트란?
사기 웹사이트는 사기나 악성 공격으로 사용자를 기만하는 불법 인터넷 웹사이트입니다. 사기범은 인터넷의 익명성을 악용하여 다양한 위장으로 정체와 의도를 숨깁니다. 거짓 보안 알림, 무료 증정 등으로 사용자를 현혹하며 합법적인 웹사이트라는 인상을 주고자 합니다.
인터넷에는 온갖 유용한 기능이 많지만, 웹에서 보이는 것이 전부 사실은 아닙니다. 사용자의 관심을 끌고자 경쟁하는 수백만 개의 합법적인 웹사이트 중에는, 각종 악의적 목적으로 만든 웹사이트도 많습니다. 이러한 웹사이트의 목적은 신원 도용부터 신용 카드 사기까지 다양합니다.
사기 웹사이트는 어떤 원리로 돌아가나요?
사기 웹사이트는 허위 정보를 게시하거나 허황한 금전적 보상을 약속하는 등 다양한 방식을 사용합니다. 하지만 최종 목적은 언제나 비슷합니다. 바로 사용자의 개인 및 금융 정보 탈취입니다.
이러한 웹사이트는 독자적인 웹사이트나 팝업의 형태를 띠거나, 클릭재킹으로 합법적 웹사이트를 무단 오버레이 하기도 합니다. 형태는 달라도 체계적인 방식으로 사용자를 유인하고 속인다는 점은 같습니다.
사기 웹사이트의 공격자가 사용자를 속이는 단계는 이러합니다.
- 유인: 공격자는 다양한 배포 채널을 통해 인터넷 사용자를 특정 웹사이트로 끌어들입니다.
- 침입: 사용자가 자신의 정보나 기기를 공격자에게 노출할 수 있는 행동을 합니다.
- 실행: 공격자는 사용자가 개인 정보를 흘리도록 유도하여 개인적인 이득을 취하거나, 다양한 목적으로 사용자의 기기를 악성 소프트웨어에 감염시킵니다.
물론 실제 수법은 더 복잡하겠지만, 대부분 위 세 기본 단계를 거칩니다.
사기 웹사이트는 소셜 미디어, 이메일, 문자 메시지 등의 커뮤니케이션 채널을 통해 인터넷 사용자를 유인하기도 합니다. 검색 엔진 최적화(SEO) 방식으로 검색 결과를 조작하여 악성 사이트가 맨 위에 나타나게 할 수도 있습니다.
주로 매력적인 상품이나 불안감을 일으키는 경고 메시지의 형태로 나타나기에, 사용자는 더 쉽게 넘어가게 됩니다. 사기 웹사이트는 대개 사용자의 심리를 공략합니다.
따라서 이러한 사기 수법을 정확히 이해해야 쉽게 넘어가지 않을 수 있습니다. 이러한 사기 웹사이트가 어떻게 사람들을 속이는지 알아보겠습니다.
사기 웹사이트가 어떻게 사람들을 속이나요?
사기 웹사이트의 핵심은 기술적인 컴퓨터 시스템보다는 사람의 판단력을 흐리는 사회공학을 이용한다는 것입니다.
이러한 유형의 사기에서는 피해자가 악성 웹사이트를 합법적인 곳이라고 믿게 하는 것이 중요합니다. 일부 사기 웹사이트는 의도적으로 정부 기관의 공식 운영 사이트처럼 제작하여, 합법적으로 보이도록 속입니다.
사기용 웹사이트는 급조될 때도 잦으므로, 조금만 자세히 보면 이상한 점을 찾아낼 수 있습니다. 이를 막기 위해 사기 웹사이트는 사회공학의 필수 요소인 감정을 이용합니다.
상대의 감정을 잘 활용하면 공격자를 향한 본능적인 의심을 피할 수 있습니다. 사기범은 피해자에게 다음과 같은 감정을 유발합니다.
- 긴박감: 종료가 임박한 혜택이나 계정 보안 경고를 보내, 사용자가 제대로 된 판단 없이 행동에 나서도록 합니다.
- 기대감: 무료 기프트 카드나 일확천금의 비법처럼 매력적인 제안으로 사용자를 들뜨게 하여 잠재적 위험성을 간과하게 합니다.
- 공포감: 가짜 바이러스 감염 및 계정 경고로 긴박감과 당혹감을 유발합니다.
이러한 감정들을 서로 뒤섞거나, 이 중 하나만 유발하여도 공격자의 목표 달성이 한층 쉬워집니다. 하지만 피해자와 아무런 연관성이 없다면 사기는 성공할 수 없습니다. 그렇기에 온라인 사기 웹사이트의 종류도 다양합니다.
사기 웹사이트의 종류
사기 웹사이트 역시 방식에서는 여타 사기 유형과 비슷하나, 다양한 형식을 보입니다. 사기 웹사이트가 사용하는 형식을 자세히 알아두면, 이러한 사기 시도를 더 잘 파악할 수 있습니다. 다음은 일반적인 사기 웹사이트의 형식입니다.
피싱 사기 웹사이트
피싱 웹사이트는 거짓 상황을 제시하여 사용자의 개인 정보 공개를 유도합니다. 이러한 웹사이트는 은행이나 이메일 공급업체처럼 합법적인 회사나 기관으로 위장하기도 합니다.
공격자는 보통 오류나 기타 문제 때문에 사용자의 조치가 필요하다는 이메일이나 기타 메시지를 보내 사용자를 웹사이트로 유인합니다. 이 사기 웹사이트는 사용자가 계정이나 신용카드 정보 등 기타 중요한 데이터를 입력하도록 합니다. 이렇게 하면 피해자의 모든 정보가 공격자의 손에 들어가게 됩니다.
온라인 쇼핑 사기 웹사이트
온라인 쇼핑 사기 웹사이트는 가장 널리 알려진 사기 수법 중 하나로, 가짜이거나 조악한 온라인 상점을 이용하여 피해자의 신용카드 정보를 수집합니다.
이러한 수법이 골치 아픈 이유는, 피해자에게 신뢰를 심어주기 위해 해당 제품이나 서비스를 실제로 제공하기도 하기 때문입니다. 물론 여기서 품질을 기대하기는 힘듭니다. 더 중요한 건, 이 때 손에 넣은 신용카드 정보를 도용하여, 이를 다른 곳에서 무분별하게 남용할 수도 있다는 것입니다.
스케어웨어 사기 웹사이트
스케어웨어 웹사이트 사기는 가짜 보안 알람을 보내 안티 바이러스 프로그램으로 위장한 악성 코드를 다운로드하도록 유인합니다. 사용자의 기기가 바이러스나 악성 코드에 감염되었다며 공포감과 긴박감을 조성하여, 솔루션 다운로드를 유도합니다.
진짜 인터넷 보안 제품군이 있다면 악성 코드 다운로드를 방지할 수 있지만, 그렇지 않은 사용자는 이러한 공격에 노출될 수 있습니다.
경품 사기 웹사이트
경품 사기는 사용자에게 거액의 경품을 증정한다고 속여, 가짜 수수료 결제를 위해 금융 정보를 제공하도록 유도합니다.
수수료 대신 경품에 대한 세금이나 배송비라고 속이기도 합니다. 여기에 정보를 제공하면 사기에 취약해지며, 물론 경품도 받지 못합니다.
사기 웹사이트의 예시
과거의 인터넷 사기는 전용 웹사이트를 이용할 때가 많았습니다. 다음 사례들을 참조하면 사기를 간파하는 데 도움이 될 것입니다.
코로나19 백신 체험 사기 웹사이트
2020년 중후반, 가짜 코로나19 치료제에 대한 보고가 등장했습니다. 이러한 코로나는 코로나19 백신 임상 시험에 참가하는 대가로 결제 정보나 사회 보장 번호(SSN)와 같은 중요 정보를 수집합니다.
실제 백신 임상시험 역시 보상금을 제공하며 개인 정보를 물어볼 때도 있지만, 참여 자체에 개인 정보를 요구하지는 않습니다. 임상 시험에 대한 보상금은 주로 기프트 카드로 지급되지만, 사기에서는 카드 정보나 은행 계좌 번호를 요구할 수 있습니다. 실제 임상 시험에서도 기본 개인 정보를 요청하는 게 일반적이지만, 사회 보장 번호나 기타 개인 세부 정보는 절대 요청하지 않습니다.
교통부 피싱 사기 웹사이트
2020년 10월, 온라인 서비스로 전환한 교통부(DMV)를 사칭하는 피싱 사기가 등장했습니다. 사기범들은 교통부의 공식 사이트를 모방한 웹사이트를 만들어 차량 등록비 등을 갈취했습니다.
가짜 웹사이트를 식별하는 방법
인터넷을 이용할 때 몇 가지 간단한 방법만 알고 있으면 사기 웹사이트로부터 사용자의 가족과 자금을 안전하게 보호할 수 있습니다.
다음 팁을 활용하면 이러한 위협을 방지하는 데 도움이 됩니다.
- 감정에 호소하는 언어: 해당 웹사이트가 감정에 호소하는 표현을 사용합니까? 긴박감, 기대감, 공포감을 유발한다면 주의하십시오.
- 조악한 디자인: 당연한 이야기지만, 사이트의 디자인이 어떤지도 확인하십시오. 합법적인 웹사이트에서 볼 수 있는 수준의 디자인 기술과 품질로 보입니까? 조악한 이미지나 어색한 레이아웃은 사기의 징조일 수도 있습니다.
- 어색한 문법: 맞춤법 오류, 부자연스럽고 어색한 문장, 단어의 잘못된 단복수 사용 등과 같은 명백한 문법 오류 등을 찾아보십시오.
- 웹 페이지 정보 누락: 일반적인 업체 웹사이트에는 "문의하기"나 "회사 소개" 같은 기본적인 페이지가 있는 게 정상입니다. 의심스럽다면 해당 업체에 전화를 걸어 보십시오. 대표 번호가 휴대전화 번호이거나 통화 연결이 되지 않으면 주의하십시오. 업체가 구두 연락을 피하려고 한다면, 그만한 이유가 있는 것입니다.
사기 웹사이트를 피하는 방법
사기 웹사이트를 피하려면 인터넷 이용 시 주의가 필요합니다. 이러한 사이트를 완전히 피할 수는 없겠지만 효과적으로 대처해야 피해를 방지할 수 있습니다. 이러한 사기를 피하는 방법은 다음과 같습니다.
도메인 이름 확인
합법적인 사이트로 스푸핑하도록 설정된 사이트는 합법적인 사이트 주소와 비슷한 도메인 이름을 사용합니다. 예를 들어, 스푸핑 사이트는 FBI.gov 대신 FBI.com 또는 FBI.org를 사용합니다. .net 또는 .org로 끝나는 주소는 온라인 쇼핑 사이트에서 사용하지 않으므로 주의해야 합니다.
더 자세히 알아보고 싶다면 WHOIS와 같은 사이트에서 도메인 이름 또는 URL을 등록한 사람이 누구인지 확인할 수 있습니다. 검색 비용은 무료입니다.
결제 주의
결제 시 계좌로 직접 이체하는 일은 피하는 것이 좋습니다. 은행 계좌로 돈을 이체했는데 그 거래가 사기였다면, 이체한 돈을 돌려받기 어려울 수 있습니다. 신용카드 결제 시에는 문제가 발생했을 때 어느 정도 보호받을 수 있습니다.
지나치게 좋은 혜택
최소한의 시간과 노력으로 꿈에 그리던 큰 보상을 받을 수 있다는 건 전형적인 사기 수법입니다. 혜택이 지나치게 좋은 건 아닌지 잘 생각해 보십시오.
태블릿, PC, 디자이너 프로그램을 대폭 할인된 가격에 판매하는 사이트가 있습니까? 건강 제품 웹사이트에서 단 2주 만에 근육을 늘리거나 체중을 급격히 감량할 수 있다고 약속하고 있지는 않습니까? 돈을 벌 수 있는 확실한 방법이 있다고 설명하고 있지는 않습니까? '이게 진짜인가?'라는 생각이 들 정도의 혜택은 대개 진짜가 아니라고 보는 게 좋습니다.
인터넷 검색 활용
신뢰 가능한 웹사이트인지 아직 확실하지 않다면 인터넷에서 다른 사용자의 의견을 찾아보십시오. 좋든 나쁘든, 평판은 온라인에 퍼지게 되어 있습니다. 만약 다른 사용자가 해당 웹사이트에 대한 나쁜 경험이 있다면 분명히 온라인에 공유했을 것입니다. Trustpilot, Feefo, Sitejabber 등의 사이트에서 의견을 찾아보고 해당 웹사이트가 사기 전력이 있는지 확인하십시오.
나쁜 말이 없더라도 바로 안심하진 마십시오. 단순히 새로 만든 사기 웹사이트일 수도 있습니다. 다른 모든 요소를 고려하여 사기 웹사이트의 피해자가 되지 않도록 하십시오.
안전한 연결 상시 사용
금융 및 보안 정보를 요청하는 합법적인 사이트에 방문했다면 브라우저 표시줄의 URL 옆에 회사 이름과 함께 보안 연결에 접속했음을 나타내는 자물쇠 기호가 표시되어야 합니다. 이 기호가 보이지 않거나 브라우저에서 사이트에 최신 보안 인증서가 없다는 경고를 표시한다면 사기의 위험 신호입니다. 개인 정보 보호 수준을 높이려면 항상 최고 수준의 보안 소프트웨어를 사용하여 추가적인 보호 계층을 확보하십시오.
또한, 아무 웹사이트나 무턱대고 클릭하여 열지 마십시오. 웹 주소를 직접 입력하거나 즐겨찾기에 저장해 두는 것이 좋습니다. 악질 범죄자는 비슷해 보이는 도메인 이름을 사용하곤 합니다. 직접 주소를 입력하거나 정확한 웹사이트 주소를 저장해두는 등 추가 보안 절차를 확보하십시오.
Kaspersky Premium의 안전 결제와 같은 기능을 사용하는 것도 온라인 구매를 안전하게 보호할 수 있는 좋은 방법입니다.
사기 웹사이트 피해를 봤다면 해야 할 일
악성 사이트의 피해자가 되었다면 바로 대응해야 합니다. 피해 규모를 억제할 방법은 여전히 피해자의 손에 달려있습니다. 다음은 사기 피해를 줄이는 방법입니다.
- 사기범과 접촉 중이었다면 연락을 중단하십시오.
- 진행 중이었거나 진행 예정이었던 결제는 찾아서 중단하십시오.
- 유출된 신용 카드를 취소하여 추가 결제를 막으십시오.
- 은행 및 이메일 계정 등의 중요한 암호와 PIN을 업데이트하십시오.
- 사기범이 새로운 계정 사기에 사용자의 신원을 악용하지 못하도록 신용 거래를 동결하십시오.
- 도움이 될 수 있는 서비스 공급업체 및 기관에 사기를 신고하십시오.
적절한 기관에 신고해야 자신과 다른 사용자를 향한 추가 사기를 막을 수 있습니다.
사기 웹사이트를 신고하는 방법
웹사이트를 신고하는 것만큼이나 그도 대단히 중요하므로, 확실한 정보를 숙지해야 합니다.
사기를 당했을 때는 가장 먼저 다음 서비스 업체에 신고해야 합니다.
- 은행 기관 및/또는 신용 카드 회사.
- 미국 국세청(IRS).
- Google 및 Apple 등의 온라인 계정 공급업체.
- Amazon 및 eBay 등의 전자 상거래 사이트.
웹사이트 사기를 접하거나 당했을 때는 인터넷범죄신고센터(IC3) 또는 국제 소비자 분쟁조정 사이트(econsumer.gov)에 신고하십시오.
Google은 악의적인 검색 결과를 필터링합니다. 해당 웹사이트를 신고하여 여기에 힘을 보태십시오.
마지막으로, 현지 경찰에 문의하여도 이러한 유형의 사기를 조사할 수 있습니다.
Kaspersky Internet Security는 2021년 AV-TEST의 인터넷 보안 제품 부문에서 최고 성능 및 최우수 보호 제품을 수상했습니다. 모든 테스트에서 Kaspersky Internet Security는 사이버 위협에 대한 뛰어난 성능과 보호 기능을 보여주었습니다.