[아이티데일리] 마블의 어벤져스 시리즈의 대미를 장식할 ‘어벤져스: 엔드게임’이 개봉과 동시에 박스오피스 기록을 경신하며 엄청난 관심을 받고 있는 상황에서, 이를 악용하는 피싱 공격이 발견돼 사용자들의 각별한 주의가 필요하다.

7일 카스퍼스키랩(한국지사장 이창훈)은 ‘어벤져스’를 사이버 범죄자들이 악용하려는 시도가 자사 콘텐츠 필터링 전문가에 의해 발견됐다며, 이같이 밝혔다.

카스퍼스키랩에 따르면, 범죄자들은 12개 가량의 웹사이트를 만들어 어벤져스 팬들에게 개봉 전에 영화를 무료로 온라인으로 볼 수 있다고 광고했다.

사용자들이 동의한 후 온라인 플레이어 아이콘을 클릭하면 공식 예고편 영상의 일부가 짧게 등장한다. 그리고 몇 초가 지나면 동영상이 정지하고 사용자들은 CVV2 코드를 포함하는 은행 카드 정보를 요구하는 등록 및 결제 페이지로 이동하게 된다. 해당 사이트에서는 이러한 절차는 사용자들이 온라인 봇이 아닌지 확인하기 위한 목적에 불과하다고 표시한다. 사용자가 결제 정보를 작성하고 나면 범죄자는 이를 이용해서 사용자의 돈을 훔치는 것이다.

이창훈 카스퍼스키랩 한국지사장은 “사회공학 기법은 사람들의 심리를 악용한다. 영향력이 크고 세계적으로 많은 팬들을 거느린 시리즈물은 완벽한 미끼다. 오랫동안 기다려온 영화를 누구보다 먼저 볼 수 있다면 스포일러나 표를 구하기 힘든 상황 등을 걱정할 필요가 없을 거라는 유혹에 굴복한 열성팬들은 보안 절차를 건너 뛰기도 한다. 공격자들은 바로 그 점을 노린다”고 경고했다.

카스퍼스키랩은 피싱 범죄에 당하지 않기 위해 ▲의심이 되는 링크를 클릭하지 않을 것 ▲벌금 등 경고 및 협박 메시지, 개인정보를 요구하는 메시지, 좋은 제안을 담은 메시지는 피싱 범죄의 미끼일 확률이 높으니 주의할 것 ▲온라인 엔터테인먼트 전용 카드 또는 계좌를 만들고 적은 금액만 넣어둘 것 ▲보안 솔루션을 사용할 것 등의 사항 준수를 권고하고 있다.