[해킹을 결제하시겠습니까?] #2.결제한 적 없는 카드 결제 문자가 왔다면?

정상 승인 문자로 위장한 카드 결제 문자 피싱 확산
발신번호·링크·승인정보·공식 앱 확인 중심의 사전 점검 필요
검색 광고형 피싱 주의와 카드사 공식 확인 경로 점검 중요

[보안뉴스 강초희 기자] 인터넷뱅킹과 온라인 쇼핑, 결제가 일상화되면서 피싱과 사기 수법도 더 교묘해지고 있다. 특히 최근에는 정상 서비스와 구분이 어려워 사용자가 평소처럼 이용하는 과정에서 피해가 발생하는 경우가 늘고 있다. 여기서는 카드 결제 문자를 위장한 피싱 상황과 반드시 확인해야 할 보안 포인트를 정리했다.

[출처: gettyimagesbank, 편집: 강초희 기자]

😬 “나 방금 카드 결제 문자 왔는데...”
😑 “왜? 뭐라고 왔는데?”
😬 “해외에서 58만원 승인됐다고. 본인 아니면 바로 확인하래.”
😑 “링크도 있었지?”
😬 “어. 그래서 누를 뻔했는데 뭔가 이상해서 멈췄어.”
😑 “잘 멈췄네. 요즘 제일 많이 쓰는 수법이 그거야.”
😬 “근데 카드사 이름도 맞고 말투도 진짜 카드사 같던데?”
😑 “이제는 티 나게 안 와. 정상 문자처럼 보여서 더 위험한 거야.”
😬 “그럼 뭘 봐야 해?”
😑 “내용 말고 발신 방식. 문자 내용보다 그게 먼저야.”

최근에는 실제 카드사 알림톡이나 결제 승인 문자 형식을 거의 그대로 모방해 사용자가 평소처럼 확인하는 과정에서 자연스럽게 피싱 사이트로 유도되는 사례가 늘고 있다. 특히 ‘결제 승인’, ‘해외 승인’, ‘본인 확인’, ‘승인 오류’처럼 즉시 반응을 유도하는 문구는 대표적인 미끼다.

특히 아래 유형은 대표적인 피싱 유도 문구다.

▲대표적인 카드 문자 피싱 유형 [출처: 보안뉴스]

겉보기엔 일반 승인 문자와 비슷하지만, 핵심은 사용자를 ‘링크 클릭’으로 유도한다는 점이다. 정상 카드사 승인 문자는 승인 내역 전달이 목적이지, 문자 안에서 즉시 로그인이나 본인 인증을 요구하지 않는다.

검색도 안심 못 한다... ‘광고형 피싱’ 주의
문자를 의심하고 검색으로 카드사를 찾는 경우도 많지만, 이 역시 안전지대는 아니다. 최근에는 검색 광고 상단에 가짜 고객센터나 피싱 페이지를 올려 공식 사이트보다 먼저 노출시키는 방식도 자주 쓰인다.

사용자는 ‘카드사 고객센터’, ‘승인 취소’, ‘해외결제 차단’ 등을 검색한 뒤 상단 링크를 눌렀다가 가짜 상담 페이지로 연결되기도 한다. 이 경우 상담원 사칭, 원격제어 앱 설치, 카드정보 입력 유도까지 이어질 수 있다.

검색 결과 상단이라고 안심하면 안 된다. 반드시 공식 앱 또는 카드 뒷면 고객센터 번호를 기준으로 확인해야 한다.

▲카드 결제 문자 피싱 체크리스트 [출처: 보안뉴스]