피싱

Phishing.

물고기를 낚는 fishing을 살짝 뒤튼 것으로 물고기 대신에 사람을 낚는 사기다. 전화, 이메일, 메시지, 웹사이트를 비롯한 각종 통신 수단을 사용하여 상대를 속이고 중요한 정보나 돈을 가로채는 사기를 뜻한다. 대중들이 가장 많이 당하는 피싱은 뭐니뭐니해도 전화를 이용한 보이스 피싱. 그밖에도 메신저나 문자 메시지를 이용한 스미싱, 목표를 특정하고 그에 최적화된 형태의 미끼를 던져서 성공 확률을 높이는 스피어 피싱도 넓게 보면 피싱 범주 안에 들어간다.

보통은 사회공학적 해킹과 연계되어 인간 심리의 약점을 파고 드는 방법으로 상대를 조종해서 자신이 시키는 대로 무엇인가를 하게 한다. 그 '무엇인가'는 로그인 암호, 신용카드 번호와 같은 금융정보를 탈취하거나 범죄자의 계좌로 돈을 이체하도록 만드는 것일 수도 있고, 컴퓨터에 악성코드를 심는 것일 수도 있다. 이를 위해서 크게 세 가지 수법이 쓰인다.

첫째 방법은 권위를 이용해서 상대를 불안하게 만들고 압박하게 만드는 방법이 있다. 주로 수사기관이나 정부기관을 사칭한다. 예를 들어, 경찰이나 검찰을 사칭해서 '당신의 계좌가 범죄 조직에 악용되고 있다'는 식으로 상대방을 놀라게 하는 한편, '출두해서 조사를 받으라', '수사에 협조하지 않으면 처벌을 받을 수 있다.'와 같은 식으로 상대를 겁먹게 만든다. 이렇게 되면 침착하게 사고하기 힘들게 되고, 불안하고 당황스러운 상황을 빨리 모면하고 싶어져서 범죄자의 지시에 쉽게 따르게 된다.

둘째 방법은 잘 아는 사람인 척 위장하는 것. 첫째 방법과는 달리 상대의 경계심을 누그러뜨리는 것이 목적이다. 스미싱이나 스피어 피싱에서 이 수법이 특히 자주 쓰인다.

셋째 방법은 뭔가 큰 이익을 볼 수 있을 것이라고 상대를 속이는 것.