왓츠앱(WhatsApp)은 세계적으로 널리 사용되는 메신저 앱으로 월 20억명 이상이 접속한다.
인도네시아만 보더라도 약 8000만명 이상이 왓츠앱을 쓰는데 이용자가 많은 만큼 위험에 노출되기 쉽다. 왓츠앱을 사용한 피싱 수법이 점점 다양해지고 있기 때문이다.
인도네시아 경찰 범죄수사국 사이버수사대에 따르면 2019년 한 해 동안 인도네시아에서 왓츠앱 관련 민원만 총 1,443건에 달한다.
대표적인 사기 수법을 정리해봤다.
1. 링크 사기
링크를 이용한 사기는 인도네시아에서 가장 많이 쓰이는 수법 중 하나로 보통 광고나 무료 선물을 제공한다는 메시지와 함께 링크가 전달된다.
경계해야 할 점은 아무 생각 없이 이 링크를 누를 경우 휴대폰 안에 있는 모든 정보가 유출될 수 있다는 것이다.
2. apk 파일 사기
왓츠앱 메시지로 apk 파일을 보내 이것을 다운로드 받도록 유도하는 수법이다.
한동안 청첩장.apk 파일이 뿌려져 많은 사람들이 피해를 입었다. 송신자에게 누구냐고 물어보면 “파일을 열어보면 안다”고 말한다.
결론적으로 신원이 불확실한 사람이 보낸 파일, 특히 apk 파일은 절대 열어서는 안된다. 휴대폰 안에 있는 개인정보, 금융정보, 계정 등이 털릴 수 있다.
경찰을 사칭해 교통위반 과태료 고지서.apk 파일을 보내는 사례도 있었다. 명심할 것은 교통위반 티켓을 왓츠앱으로 전달하는 일은 없다는 것이다.
3. OTP 사기
OTP(On Time Password)는 로그인 또는 인증이 필요할 때 일회용으로 생성되는 랜덤 비밀번호로 해킹방지를 목적으로 한다.
만약 누군가 친구인 척 하며 OTP 번호를 알려달라고 요구하면 절대 알려줘서는 안된다. 계정을 탈취당할 수 있기 때문이다.
이 방식은 앞서 언급한 apk방식과도 연계될 수 있다. apk파일을 다운받을 때 왓츠앱 액세스를 허용하면 OTP에 접근이 가능하다.
4. 사칭 사기
왓츠앱 피싱 대부분이 사용자들로 하여금 의심없이 링크를 눌러보도록 유도한다. 친구, 가족 뿐 아니라 은행, 경찰관까지 사칭한다.
지난 7월 BNI 은행을 사칭한 사기도 있었다. 이미지 파일 아래 ‘보기’ 버튼이 있는데 이것을 누르도록 유도한다. 당연히 누르면 안된다. 사용자가 이 버튼을 누르는 순간 폰 안에 모든 정보가 유출된다.
예방법은?
1. 프로필을 확인하고 모르는 사람이면 무조건 차단한다.
2. 의심스러운 링크, 특히 apk 파일은 열지 않는다.
3. 2단계 인증을 설정한다.
4. 정기적으로 비밀번호를 변경한다.
5. 정기적으로 계정 정보를 확인해 로그인 정보를 체크한다.
6. OTP는 누구와도 공유하지 않는다.
인니투데이ㅣJIKS 11학년 안성원
[저작권자(c) 인니투데이, 무단 전재-재배포 금지]