스미싱 주의 : [한진택배 확인부탁합니다] 문자가왔다.

아이폰에도 스미싱이 오네?

처음엔 무슨 아이폰에 스미싱 문자를 보내는 바보도 있나 싶어서 그냥 넘기려고 했다.

근데 뉴스 등 언론에서 익히 봐왔던 그 스미싱이란 것을 나도 처음 받아보는 탓에 궁금증을 이기지 못하고 한번 낚여주기로 한다.

 

 

경고

재미 삼아 낚여본 경험에 생각보다 잘 짜인, 생각보다 위험한 기가 막힌 사기의 종합이라는 생각이 들어 경고의 게시글을 올린다.

제가 대신 낚였으니 저런 문자는 그냥 무시하세요.

 

 

 

 

아니 이런 문자에 누가 낚여?

대체 저 주소는 뭘까?

새삼 처음 보는 주소의 나열이었다. 혹시 URL 단축 서비스 등을 이용했을 수도 있겠다 싶어 찾아보니 tumblr라는 블로그 서비스가 나왔다.

아마도 게시글 안에서 자동으로 호출되는 방식으로 불법 피싱사이트를 우회한 것으로 보인다.

 

 

 

 

 

허술하다 허술해...

CJ대한통운??

일단 주소를 클릭해보자 한진택배는 온데간데없고 웬 CJ대한통운 모바일 웹이 나왔다. 너무 어이가 없어 주소창을 보니 웬걸... 너무 허술하다. 

그러나 각 메뉴를 눌러보니 나름 공들여 짜 놓긴 해서 무턱대로 주소창을 눌러 넘어왔다면 충분히 낚일 수도 있어 보였다.

 

 

 

 

 

참고로 이게 실제 CJ대한통운의 공식 메인화면이다.

 

 

 

PC버전이라는 버튼을 누르자 404에러가 뜬다. 직무유기다.

 

 

고도의 심리전

일부러 낚여주면서도 첫 화면부터 뭔가 거슬리는 게 있었다. 저 전화번호 빈칸... 무언가 적어 넣고 싶게 생겼다.

아마 맨 처음 저 사이트에 들어간다면 누구나 저기에 번호를 적어 넣을 것이다.

사실, 운송장 번호가 아닌 전화번호로 조회한다는 게 좀 어이없지만, 본인 확인을 하라는 문구는 이상하게 수긍하게 만든다. 

그리고 결과를 보고 한번 더 이 기가 막힌 사기수법에 놀라게 된다.

 

일단 아무번호나 넣어보자.

이게 뭐지?

일단 저 사이트에 내 번호를 넣고 싶진 않아서 아무 번호나 넣어버렸다. 결과는 '조회 안됨'이다.

혹시 아무렇게나 배열된 번호를 체킹 하는 알고리즘이 있나 싶어서 내 친구의 번호를 넣어봤다. 결과는 같았다.

 

 

친구 번호를 넣어봤다.

 

그럼 내 번호로는?

무려 내 번호를 인식했다.

 

내 번호를 입력하자 앱 다운로드는 묻는 알림이 떴다.

app.apk를 다운로드하겠습니까?

. apk는 안드로이드 패키지(android package)의 약자로 한마디로 앱을 다운로드하겠다는 것이다. 전형적인 스미싱 수법이다. 물론 아이폰에는 설치가 안되기 때문에 저기서 다운로드 버튼을 눌러도 아무 이상이 없다. 그냥 파일을 지우면 된다. 문두에 아이폰에 스미싱을 보내는 게 바보라는 것도 바로 이 이유 때문이었다.

정확히는 안 되는 건 아니지만 인증과정을 거쳐야 하고 사기꾼 입장에서 귀찮을 정도로? 꽤 복잡하기 때문에 내가 사기꾼이어도 안 할 것 같다.

 

 

 

결코 만만하지 않다.

별생각 없이 저런 문자를 클릭했을 경우도 위험하겠지만, 나처럼 낚시인걸 알면서도 혹시나 해서 들어가 본 사람도 낚일만한 요소가 있었다.

특히 놀란 부분은 아무번호나 적어 넣었을 때 단지 저런 경고창만 뜨는 것이 아니라 실제 CJ대한통운 배송 조회 화면으로 넘어가게 만들어서, 사이트 잘못이 아닌 내가 번호를 잘못 입력해서 조회가 안된 것이라는 듯한 느낌을 주어 피싱사이트의 무결성과, 신뢰성을 확보했다. 

 

 

해당 알림창이 뜬 이후에

실제  CJ대한통운 사이트로 넘어간다.

참고사항

CJ대한통운에서도 해당이슈를 알고 있었는지 공지를 올려놓았다.

https://www.cjlogistics.com/ko/newsroom/notice/NR_00000010

CJ대한통운 사칭 스미싱 문자 주의 안내 < 공지사항 | CJ대한통운