카스퍼스키랩, 구글 캘린더 악용한 스마트폰 신종 피싱 주의
상태바
카스퍼스키랩, 구글 캘린더 악용한 스마트폰 신종 피싱 주의
  • 이승윤 기자
  • 승인 2019.06.27 09:20
  • 댓글 0
이 기사를 공유합니다

G 메일 스마트폰 사용자를 위한 초대장 자동추가 및 알림 기능 악용

[CCTV뉴스=이승윤 기자] 카스퍼스키랩이 구글 캘린더를 악용한 스마트폰 피싱 공격을 발견돼 사용자들의 주의가 필요하다고 밝혔다. 카스퍼스키 연구진에 따르면, 가짜 구글 캘린더 알림을 통해 사용자에게 접근하여 개인 정보를 빼가는 고도의 사기를 여러 건 탐지했다. 이번에 탐지된 피싱 공격은 5월에 발생한 것으로 사용자의 캘린더에 초대장과 이벤트를 자동으로 추가하는 온라인 캘린더 서비스의 기능을 악용한 것으로 밝혀졌다.

스팸과 피싱은 사이버 범죄자에게는 효과적인 공격 방법으로 알려져 있다. 알려진 사기 수법을 알고 있는 사용자들도 쉽게 속일 수 있기 때문이다. 특히, 이메일의 기본 캘린더 기능과 같이 사람들이 신뢰하는 합법적인 서비스일 경우 더욱 큰 효과를 볼 수 있다.

카스퍼스키랩은 5월 한달 동안 사용자가 추가하지 않은 다수의 캘린더 팝업 알림이 탐지되었고, 조사 결과 이 알림은 사이버 공격자들이 발송한 스팸 이메일로 드러났다고 설명했다. 또한, 이런 스팸메일은 G 메일(Gmail) 스마트폰 사용자를 위한 기본 기능인 초대장 자동 추가 및 알림 기능을 악용했다고 전했다. 범죄자들이 피싱 URL이 포함된 캘린더 초대장을 발송하면, 초대장 팝업 알림이 스마트폰 홈 화면에 표시되어 수신자들이 무의식 중에 링크를 클릭할 수 있어 공격에 노출되기 쉽다.

카스퍼스랩에 따르면, 발견된 사례의 대부분은 간단한 설문조사 웹사이트로 연결되었으며, 참가하면 상금을 탈 수 있다는 제안을 담고 있었다. 클릭한 사용자들은 상금을 받으려면 신용카드 정보와 이름, 전화번호, 주소 등 일부 개인 정보를 입력하라는 요청을 받게 된다. 그러나 이 정보는 범죄자들에게 전달되어 사용자의 돈이나 개인 정보를 탈취하는 데 사용될 수 있다.

카스퍼스키코리아의 이창훈 지사장은 "이메일이나 메신저를 사용하는 스팸 수법은 워낙 많이 알려져서 사람들이 잘 신뢰하지 않는데 반해 캘린더 피싱, 특히 캘린더 앱을 통한 피싱은 그렇지 않다. 정보를 전달하는 것이 목적이 아니라 일정 관리가 주 목적이기 때문이다“며, ”현재까지 발견된 샘플의 경우는 한눈에 봐도 수상한 제안을 담고 있지만, 단순한 수법이라도 점차 발전해 정교해질 수 있다. 다행히 아직 이런 수법을 피하기 위해 특별히 기술적인 조치가 필요하지는 않으며, 캘린더 피싱에 악용된 기능은 설정에서 쉽게 해제할 수 있다"라고 말했다.

카스퍼스키는 악성 스팸의 피해를 입지 않으려면 ▲캘린더에 초대장 요청을 자동으로 추가하는 기능을 해제 ▲자동으로 주소가 변환되어 접속된 웹사이트가 합법적이며 안전한지 확신할 수 없다면 개인 정보 입력 금지하라고 권고하고 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.