모바일 이메일앱, 문자, 모바일 웹브라우저에서 피싱과 해킹용 첨부링크확인이 어려운 문제

전에 나온 기사 하나입니다.

'홀린듯 당한다'··· 최신 모바일 공격 기법 7가지 - James A. Martin | CIO KR 2019.11.29

SMS를 통해 전달되는 피싱 공격인 스미싱은 오늘날의 모바일 퍼스트 세상에서 증가 중인 사이버 보안 위협 중 하나이다. 2018년, 프루프포인트의 피싱 실태(State of the Phish) 보고서에 대한 응답자 중 49%는 스미싱 또는 비싱(Vishing, 보이스 피싱) 공격을 경험했다고 답했으며, 이는 2017년의 45%보다 조금 더 증가된 수치였다. 한편, 맥아피는 모바일 맬웨어 사건이 2018년에 550%나 증가했다고  2019 모바일 위협 보고서를 통해 밝혔다.

기사를 읽고서 대충 적는 것. 다른 기사에서 본 것도 있음.

• "누군가 당신의 계정에 로그인하려 시도했습니다" 또는 "당신의 OO계정이 잠겼습니다. 조치를 하려면.. " 등.
• 침착하지 못하게 만든 다음, 가짜로 만든 웹사이트나 보이스피싱 전화를 연결해 비밀번호 등 해커가 추가 범행을 위해 원하는 개인정보 입력을 요구.^[각주:1]
  
• 사람들은 이런 낚시질을 컴퓨터 모니터화면보다는 전화기로 접했을 때 더 잘 당하는 경향이 있음.

위험한 공격유형

1. 스미싱
2. 사기 앱을 다운로드하도록 고안된 SMS 메시지
3. 플래시(손전등) 앱(그리고 간단한 유틸리티로 위장한 데이터 도난 앱).. 손전등만이 아니라 조도계, 만보계, 무료 와이파이검색, 와이파이 테스트 등을 하는 앱인데, 기능과는 전혀 무관한 권한, 다짜고짜 엄청 많은 권한을 요구하는 것들이 있습니다.
   
4. 플리스웨어(Fleeceware) .. QR코드스캔 등 간단한 기능을 구현. 무료체험 + 자동구독시작 겸 구독사실을 애매하게 표현해 결제정보가 들어가는 걸 보고도 자기가 뭘 하고 있는지 확실하게 인지하지 못하게 하거나, 시작한 구독이 해지하기 어렵거나, 불가능하게 만드는 결제상의 트릭 사용. 그렇게 사용자의 의사에 반해 구독을 걸어 장기적으로 거액을 갈취하는 앱.
5. 숨겨진 광고.. 사용자가 모르는 방식으로 어떻게 한다는 게 트릭.^[각주:2] 
   
6. SIM 하이재킹.. 공격자가 희생양의 스마트폰 번호를 자기 SIM카드로 전환하는 범죄. 이에 대해, 주거래 금융기관이나 정부관계 등 중요한 목적으로만 사용하는 개인 전화번호(유심카드)를 따로 유지하는 것도 방법이라고.^[각주:3]
   
7. 서베일런스웨어(surveilanceware) .. 전화기에 침투한 다음, 전화기를 가지고 음성통화, 문자통신하며 축적되는 사용자정보(텍스트, 녹음파일 등)를 공격자의 의도대로 지속적으로 유출해 희생양을 "감시"(서베일런스)하는 보안구멍. 러시아에서 만든 것이 유명

(각각의 경우에 대해 추가 정보와 참고기사, 자료 링크가 기사 원문에 있습니다)

완전한 보안은 없음. 조심 또 조심하는 것만이 답.

1. 만약 폰이 해킹당했다면 해당 부분의 연락처가 변조됐을 가능성도 있음 [본문으로]
2. 그리고 가장 유명한 광고회사들은 광고가 숨었든 보이든 자기들 관리를 잘 하겠지만, 몇 년 전 자체 광고서버에 랜섬웨어가 끼어 커뮤니티 이용자들을 털어버린 국내 c모 커뮤니티건같은 사례는 답이 없죠. [본문으로]
3. 그런데, 듀얼심이라도 전화기가 악성앱에 먹혀버리면 심 두 개가 다 위험하지 않나요? 그리고 그런 경우에는 전화기 자체가 2개가 돼야 안전해지지 않을지.. 그런 전화기를 써보지 않아 모르겠습니다. [본문으로]