연방수사국(FBI)은 최근 기업 및 정부 서비스에서 사용하는 급여, 실업 수당, 건강 저축 계좌(HSA) 등의 직원 셀프 서비스 웹사이트를 모방한 가짜 웹사이트에 대한 경고를 발표했다. 이 사기는 진짜 웹사이트처럼 보이는 가짜 광고를 검색 엔진에 띄워, 사용자가 잘못 클릭하도록 유도한 뒤 로그인 정보와 금융 정보를 훔치는 방식이다.
과거에는 이런 수법이 소규모 사업체의 기업 은행 계좌를 노리는 데 사용되었지만, 이제는 인사 관련 웹사이트까지 그 범위가 확대되어, 허위 송금이나 급여 지불 변경 등을 통한 금전 절도가 목적이다.
이런 사기는 사이버 상의 ‘미끼 상품 바꿔치기(bait and switch)’ 방식으로 진행된다. 범죄자들은 실제 기업을 모방한 광고를 통해 인터넷 검색을 하는 사람들을 엉뚱한 가짜 사이트로 유도한다는 것이다. 이 사기 광고는 종종 검색 결과의 최상단에 표시되며, 웹사이트 주소(URL)가 실제와 거의 유사하지만 철자 하나 정도가 다르기 때문에 이런 작은 차이를 일반 사용자가 놓치기 쉽다.
사용자가 이 광고를 클릭하면 피싱 웹사이트로 이동하게 되며, 사용자는 실제 웹사이트인 줄 알고 로그인 정보를 입력된다. 그러면 이 정보는 범죄자에게 전달되어 실제 계정에 접근할 수 있게 된다.
FBI는 다중 인증(Multi-factor Authentication, MFA)이 있어도 충분하지 않다고 경고했다. 범죄자들은 사회공학적 기법을 사용해 인증 코드를 탈취할 수 있기 때문이다. 예를 들어, 은행 직원을 사칭하여 전화를 걸어 일회용 비밀번호(OTP)를 요구하거나, 사용자가 가짜 웹사이트에 인증 코드를 입력하도록 유도하는 방식이다.
한 번 은행 정보가 유출되면, 범죄자는 해당 계정에서 자금을 이체할 수 있고 급여, 실업 수당, 은퇴 계좌, 건강 저축 계좌 같은 곳에서는 직접 입금 정보를 변경하여 돈을 가로챌 수도 있다. 또한 범죄자들은 개인 식별 정보(PII)를 사용해 새로운 계정을 개설할 수도 있다.
FBI에 따르면, 계정이 해킹되었을 수 있는 신호 중 하나는 짧은 시간 안에 수천 개의 스팸 이메일을 받는 것이다. 이는 범죄자가 피해자가 진짜 계정 침해 알림 이메일을 못 보게 하려는 수법이라는 것이다. 따라서 광고를 클릭해 웹사이트에 접속할 때 항상 조심해야 한다고 경고하고 있다.
