퀴싱이 무엇인가요? QR 코드 피싱으로부터 자신을 보호하는 방법

QR 코드 시대에 사이버 범죄자들은 '퀴싱' 기법을 통해 개인을 속이고 악성 웹사이트로 연결합니다. 이 속임수와 다양한 형태의 QR 코드 피싱 및 이러한 공격으로부터 자신을 보호하는 방법에 대해 자세히 알아보십시오.

퀴싱이 무엇인가요?

퀴싱은 QR 코드를 사용하여 개인을 기만하여 악성 웹사이트를 방문하거나 중요한 정보를 공개하는 사이버 공격의 일종입니다. 이 공격은 QR 코드의 신뢰와 편의를 악용하여 피해자를 속입니다. 퀴싱은 QR 코드 피싱, QR 코드 스푸핑 또는 QRishing이라고도 합니다.

QR 코드 피싱 공격은 어떤 방식으로 작동합니까?

일반적인 퀴싱 또는 QR 코드 피싱 공격은 다음 5가지 주요 단계로 구성됩니다:

배포 : 공격자는 사기성 QR 코드를 생성하여 전단, 포스터, 라벨에 인쇄하거나 이메일, SMS, 소셜 미디어를 통해 디지털 공유하는 등의 다양한 방법으로 배포합니다.
속임수 : 사기성 QR 코드는 일반적으로 합법적인 것처럼 보이도록 설계되었으며 잠재적인 피해자를 유인할 수 있는 제안, 할인 또는 서비스를 약속할 수 있습니다.
스캔 : 피해자가 QR 코드를 보게 되면 QR 코드 리더 앱이 설치된 모바일 장치를 사용하여 스캔합니다.
리디렉션 : QR 코드 스캔 시, 피해자의 장치는 공격자가 제어하는 악성 웹사이트로 연결됩니다. 이 웹사이트는 일반적으로 신뢰하는 사이트 또는 잘 알려진 사이트를 모방합니다.
데이터 도용 : 이 가짜 웹사이트는 피해자가 제공된 정보를 요청하는 합법적인 경로를 가장하여 로그인 정보, 개인 정보, 금융 정보 등의 중요한 정보를 입력할 수 있습니다.

퀴싱 공격의 유형

QR 피싱 공격 또는 QRishing은 다양한 형태를 취할 수 있으며, 공격자는 다양한 전술을 사용하여 피해자를 속입니다. 다음은 몇 가지 예입니다:

가짜 제품 할인 : 공격자는 인기 제품 또는 서비스에 대한 상당한 할인을 약속하는 QR 코드를 배포합니다. QR 코드를 검사하면 사용자를 가짜 웹사이트로 리디렉션합니다. 여기에서 개인 정보와 결제 세부 정보를 제공하라는 메시지가 표시됩니다. 약속한 할인은 적용되지 않습니다.
가짜 이벤트 티켓 : 사기꾼은 존재하지 않는 이벤트나 소유하지 않은 티켓의 QR 코드를 만듭니다. 아무 생각도 하지 않는 피해자는 자신이 표를 구매하는 것으로 생각하고 코드를 스캔하지만 돈을 잃고 개인 데이터가 도난당할 수 있습니다.
채용 제의 : 공격자는 이메일 또는 소셜 미디어를 통해 지원용 QR 코드가 포함된 허위 채용 정보를 보낼 수 있습니다. 이 코드를 검사하면 개인 및 금융 정보를 요청하는 피싱 페이지로 이동합니다.
은행 및 금융 사기 : 공격자는 중요 계정 정보로 연결되는 링크를 사칭하는 사용자 은행으로 보이는 QR 코드를 전송할 수 있습니다. 코드를 검사하면 로그인 자격 증명 및 금융 정보를 도용하도록 설계된 가짜 은행 웹사이트로 사용자를 리다이렉트합니다.
암호화폐 스캠: 사기꾼은 기만적인 QR 코드를 만들어 이메일, 소셜 미디어, 스티커 등 다양한 채널을 통해 배포합니다. 피해자는 의심의 여지 없이 자신이 합법적인 암호화폐 거래를 시작한다고 생각하고 이 코드를 검사하지만 실제로는 사기꾼의 지갑으로 돈을 보내게 됩니다.
자선 기부 스캠 : 자선 기부를 위한 QR 코드를 배포하는 사기 수입니다. 이 코드를 검사하면 사용자는 결제 세부 정보가 포함된 허위 기부 페이지로 이동합니다.
소포 배송 사기 : 이메일이나 문자로 QR 코드를 전송한다고 사칭하여 소포 배달에 대한 추적 정보를 얻을 수 있습니다. 수신자는 코드 검사 시 개인 정보를 찾거나 악성 코드를 전달하는 가짜 웹사이트로 리다이렉트합니다.
COVID-19 사기 : COVID-19 범유행 기간 동안 사기꾼은 피싱 공격에 QR 코드를 사용했습니다. 이 형태의 트로이목마는 코로나19 백신 관련 정보 또는 안전 가이드라인으로 연결되는 이메일이나 메시지로 QR 코드를 전송했습니다. QR 코드를 스캔하면 개인 정보를 찾거나 악성 코드를 유포하는 사기 웹사이트로 연결됩니다.
레스토랑 및 메뉴 스캠 : COVID-19 범유행 당시와 이후에 QR 코드 사용이 증가한 후 공격자가 가짜 레스토랑 메뉴에 QR 코드를 배포했습니다. 이 코드는 검사 시 악성 코드를 설치하거나 개인 정보를 도용하려고 시도하는 악성 웹사이트로 리다이렉트됩니다.

다음은 QR 피싱 공격의 일부 예에 불과합니다. QR 코드는 편리한 도구이지만 사이버 범죄자들이 악용하여 개인을 속여 중요한 정보를 공개하도록 하거나 다양한 사기의 피해자가 될 수 있습니다. QR 코드, 특히 확인되지 않았거나 요청하지 않은 출처에서 받은 QR 코드를 스캔할 때 주의하고 조치를 취하기 전에 합법적인지 확인하는 것이 중요합니다.

퀴싱 스캠의 실제 사례

中 퀴싱 공격, 은행 계좌 표적으로

2022년에는 중국에서 QR 피싱 캠페인이 등장했으며, 여기에는 사기꾼들이 중국 재무부를 가장합니다 . 이 형태의 트로이목마는 사용자를 정부 지원금을 새로 신청할 수 있다고 믿게 하는 기만적인 이메일을 전송했습니다. 이 술책에는 WeChat과 같은 모바일 메시지 및 결제 앱을 사용하여 사용자에게 첨부 문서에 포함된 QR 코드의 스캔을 요구하는 메시지가 포함되었습니다. 해커는 기술적 보안 조치를 통해 탐지하기가 어렵기 때문에 QR 코드를 선택하는 경우가 많습니다. 또한 일반적으로 이러한 작업에 사용되는 모바일 장치는 컴퓨터보다 안전하지 않을 수 있습니다. 코드가 스캔되면 사용자는 신용 카드 및 은행 계정에 대한 광범위한 정보를 제공하는 웹 페이지로 연결됩니다.

미국의 유료 키오스크 키오스크 및 주차 위반 딱지

텍사스의 한 사례 에서는, 사이버 범죄자들이 주차 요금 지불 키오스크에 위조 QR 코드 스티커를 부착하여 드라이버들이 이를 주차 요금 결제에 사용할 수 있다고 믿게 만들었습니다. 운전자는 이 코드를 검사할 때 신용 카드 정보를 입력한 사기 웹사이트로 이동하여 해커에게 실수로 기밀 데이터가 공개될 수 있었습니다. 2022년 2월 애틀랜타에서 유사한 사건이 발생하여 운전자가 자신의 차량에서 벌금을 징수할 수 있는 QR 코드가 있는 위조 주차위협을 발견했습니다. 문제가 폭로된 후, 지역 당국은 애틀랜타에서는 주차 위반 딱지에 QR 코드를 사용하지 않는다고 경고했습니다.

QRL재킹이 무엇입니까?

퀴싱과 관련된 개념으로 QRLJacking이 있습니다. QRL(빠른 응답 로그인)은 QR 코드를 사용하여 웹사이트, 앱 또는 디지털 서비스에 로그인하는 인증 방법입니다. 사용자는 스마트폰으로 로그인 화면의 QR 코드를 스캔하여 직접 접근을 허용하거나 다단계 설정을 위한 2차 인증을 시작할 수 있습니다.

그러나 해커는 다음과 같이 QRL을 악용할 수 있습니다:

대상 웹사이트 또는 앱에서 클라이언트 측 QR 세션을 시작합니다.
합법적인 QR 코드를 복제하여 자신의 서버로 리다이렉트합니다.
이 트로이목마는 원본과 유사한 가짜 로그인 페이지에 이 조작된 QR을 삽입했습니다.
가짜 로그인 페이지 링크는 이메일 또는 기타 채널을 통해 배포되며, 사용자는 QR 코드를 클릭하고 스캔하도록 합니다.
다단계 인증이 활성화되지 않은 경우 QR 코드를 스캔하면 공격자가 접근할 수 있습니다.

QR 코드를 스캔하는 여성

퀴싱 공격의 징후 – 주의해야 할 사항

QR 피싱은 이메일 또는 의심스러운 확장자의 첨부 문서에서 QR 코드를 숨기기 때문에 악성 코드 탐지기 및 이메일 필터를 우회하는 경우가 많습니다. 이러한 불명확한 면모가 감정 조작 또는 사회 공학과 결합되어 피해자는 사기를 위해 악성 QR 코드를 검사하게 됩니다. 다음 QR 피싱 징후에 주의하십시오:

비정상적인 경로: 특히 발신자를 알 수 없는 이메일 또는 메시지에서 예상치 못한 또는 원치 않는 경로에서 QR 코드를 받을 경우 주의하십시오.
일치하지 않는 도메인: QR 코드가 표시하는 도메인 또는 웹사이트와 다른 도메인 또는 웹사이트로 리다이렉트되는지 확인합니다. 이는 피싱의 징후일 수 있습니다.
문법 및 맞춤법: 함께 제공되는 메시지 또는 지침의 잘못된 문법과 맞춤법은 피싱 시도를 의미할 수 있습니다.
긴급 요청: 위협, 포상 약속 등의 즉각적인 조치를 요구하는 긴급 요청이 포함된 QR 코드를 주의하십시오.
여러 인증 단계: 인증 QR 코드 로그인은 일반적으로 일회성 스캔을 포함합니다. 추가 정보 또는 단계를 입력하라는 메시지가 표시되면 피싱 시도일 수 있습니다.
과도한 개인 정보: 사회 보장 번호나 광범위한 금융 세부 정보와 같은 매우 개인적인 정보를 요청하면 경고가 발생할 수 있습니다.
비정상적인 권한: QR 코드 스캔 후 모바일 앱에 광범위한 권한을 부여하라는 메시지가 표시되면, 주의하며 추가로 조사합니다.

QR 피싱 전술은 다양하므로 이러한 사기의 희생자가 되지 않으려면 각성과 주의가 필요합니다.

퀴싱으로부터 자신을 보호하는 방법

QR 피싱 공격으로부터 자신을 보호하려면 다음 지침을 따르십시오:

경로 확인: 특히 발신자를 알 수 없는 경우에는 스캔하기 전에 항상 QR 코드의 경로를 확인하십시오.
원치 않는 QR 코드에 주의 : 이메일, 문자 메시지 또는 실제 자료에서 원치 않는 QR 코드를 발견할 때마다 주의합니다.
맞춤법 및 문법 오류 확인: 판촉물에 사기 커뮤니케이션에서 일반적으로 나타나는 맞춤법 및 문법 실수가 있는지 자세히 검사합니다.
도착 URL 검사: 검사하기 전에 도착 URL이 예상한 소스와 일치하고 의심스러운 요소나 맞춤법 오류 요소 없이 합법적인 상태인지 확인합니다.
방문 페이지 검사: 검사가 끝나면 방문 페이지의 컨텐츠와 디자인을 주의 깊게 검사합니다. 합법적인 페이지는 전문적으로 표시되고 오류가 없을 가능성이 높습니다.
즉각적인 정보 요청 시 주의: 랜딩 페이지에서 로그인 자격 증명이나 결제 세부 정보와 같은 민감한 정보를 즉시 요청한다면 주의하십시오. 합법적인 서비스는 일반적으로 이를 사전에 요청하지 않습니다.
특별 이벤트 또는 할인 확인: QR 코드로 약속된 이벤트를 공식 웹사이트 또는 회사에서 독립적으로 확인합니다. 의심스러운 것이나 사실이기에는 너무 좋은 것 같다면, 직감을 신뢰하고 QR 코드 스캔을 피하십시오.
HTTPS 검색: 리다이렉트 웹사이트에서 보안 연결(HTTPS)을 확인합니다. S는 '보안'을 의미하며 웹 사이트에 최신 보안 인증서 가 있음을 나타냅니다.
2단계 인증(FA) 사용: 온라인 계정에 대해 FA를 활성화하여 사용자의 자격 증명이 유출될 경우에 대비하여 보안을 한층 더 강화할 수 있습니다.
의심스러운 활동 보고: 의심스러운 QR 피싱 공격을 관련 기관, 조직의 IT 부서 또는 이메일 서비스 공급업체에 보고합니다.
자신과 다른 사람에 대한 교육: 사이버 보안 뉴스와 위협에 대한 최신 정보를 받아 잠재적 위험을 인식합니다. QR 피싱 및 기타 온라인 위협에 대한 지식을 친구 및 가족과 공유하여 온라인 보안을 강화할 수 있습니다.
최신 상태로 유지: 모바일 장치의 운영 체제와 앱을 최신 보안 패치로 정기적으로 업데이트하여 이러한 공격의 희생자가 될 위험을 줄입니다.
보안 소프트웨어 설치: 악성 웹사이트를 차단하고 다양한 온라인 위협으로부터 보호하는 Kaspersky Premium 과 같은 최신 보안 소프트웨어로 장치를 보호하십시오. Kaspersky Premium 개인 정보를 추가로 제공하여 인터넷 연결을 보호할 수 있는 VPN과 강력하고 고유한 암호를 생성 및 저장하는 암호 관리자가 함께 제공됩니다.

이 팁을 따르고 경계를 늦추면 QR 피싱 공격 및 기타 온라인 사기의 희생자가 될 위험을 크게 줄일 수 있습니다. QR 코드의 사용이 만연한 오늘날의 디지털 세계에서 온라인 보안을 우선시하는 것은 필수입니다.

퀴싱 및 QR 코드 피싱 공격에 대한 자주 묻는 질문