신용카드 스팸메일 해킹 피하는 법 - 자신을 믿지 마세요 (첨부파일 다운받은 썰)

최근 삼성카드 이용한도 변경 안내라는 이메일을 받았습니다. 해당 메일을 열었더니 아래 이미지처럼 첨부파일을 통해 확인하라고 문구가 적혀있어 첨부파일을 다운받았습니다. 여기까지 3~5초 정도 걸렸던 것 같습니다.

 

받은 이메일 캡처 화면, 친절하게 확인방법도 알려주고 있다

 

그제서야 뭔가 이상함을 느꼈습니다. 이 메일이 스팸메일이라면 어땠을까요?

발신자를 제대로 확인하지도 않고, 너무나 자연스럽게 메일을 열고 첨부파일 다운로드를 받고 계신다면 아래와 같은 내용을 한 번 참고해 보시면 좋을 것 같습니다. 신용카드 스팸메일을 피하기 위해 본인뿐 아니라 부모님께, 자녀에게도 알려주세요.

 

이런 방법은 통하지 않습니다

1. 발신 이메일 확인

위 메일의 경우 발신 이메일주소는 sscyber@samsungcard.com 이었습니다. 그런데 만약 .com이 아니라 .co.kr이었다면 스팸메일이구나 하고 바로 알아차릴 수 있었을까요? 힘들었을 겁니다.

 

또한 스팸메일에서 발신이메일을 실제 발송되는 이메일 주소가 아닌 다른 주소로 변경해서 보내는 것은 일반적인 수법입니다. 네이버메일의 경우 발신 주소가 실제와 다르면 별도로 알려주거나 스팸메일함으로 바로 직행되기도 하지만 여전히 불안요소입니다.

 

2. 메일내용 중 공식로고 등 이상한 점 찾기

스팸메일은 점점 진화하고 있습니다. 공식 메일을 거의 그대로 복사해서 보내기 때문에 이상한 부분을 찾기가 어렵습니다.

 

그리고 무엇보다, 위와 같이 스팸을 받자마자 '생각'해서 조심할 수 있다면 좋겠지만 실제로는 그러지 못할 때가 있습니다. 순간적으로 클릭해 버리는 것입니다. 이런 실수를 막기 위해 아래와 같은 방법을 추천드립니다.

 

신용카드 스팸 메일(첨부파일) 피하는 법

1. 카카오톡 등 추가 안내 알림이 오는지 기다림

저의 경우 5분 정도 기다렸더니 카카오톡으로도 삼성카드 이용한도 변경 안내 알림을 받았습니다. 이런 경우엔 이메일주소와 카카오톡 모두 동일한 알림을 보내고 있으니 공식적인 안내메일이라고 볼 수 있습니다. (만약 아니었다면 2가지 개인정보 모두 털린 것이겠죠)

 

하루 정도 기다려도 추가 안내 알림이 어디에서도 오지 않는다면 카드사 챗봇 상담 또는 전화를 걸어볼 수 있습니다. 돌다리도 두드려 보고 건너는 것이 좋겠죠.

 

2. (추천) 공식 신용카드 앱 설치

삼성카드, 신한카드 등 카드사의 공식 앱을 다운받아 사용하시면 해당 앱이 해킹되지 않는 이상, 각종 알림을 통해 휴대폰이 뚫릴 일은 없습니다. 무지성으로 푸시 알림을 클릭해도 크게 문제가 없는 것이죠.

 

참고로 신용카드 어플을 다운받으면 마케팅 메세지가 너무 올까봐 걱정되시는 분들은 마케팅 수신동의 철회 또는 거부를 하시면 됩니다.

 

참고. 삼성카드 이메일 종류

제가 주로 사용하고 있는 삼성카드를 기준으로 이메일 종류를 알아보겠습니다. 공식 이메일이라면 문제의 소지가 전혀 없겠지만, 요즘은 공식 같이 꾸며낸 가짜 이메일이 많으니 주의해서 나쁠 건 없습니다.

 

삼성카드에서 오는 메일 제목들은 일반적으로 아래와 같습니다.

1) 카드 이용한도 변경 안내
2) 마케팅 수신 동의 정보 안내
3) 개인정보이용내역 안내 / 약관 변경 안내
4) 이용대금 명세서

 

이중에서 마케팅 수신 동의 여부 안내 메일은 별도의 첨부파일 없이 언제 마케팅 수신동의를 했는지 텍스트로 알려주는 메일이 대부분이라 우려되는 부분이 없습니다. 만약 마케팅 수신동의 안내 메일인데 첨부파일이 있다면 절대 먼저 열지 마세요.

 

개인정보이용내역이나 약관변경도 첨부파일은 보통 없습니다만, 내용 중 클릭할 수 있는 버튼이 있습니다. 웬만하면 클릭하지 마시고, 꼭 확인하고 싶다면 공식홈페이지의 공지사항을 확인하시길 바랍니다.

 

첨부파일 해킹이 우려되는 메일은 2종류입니다. 카드 이용한도 변경 안내와 이용대금 명세서입니다.

 

첨부파일 이름에 개인을 특정할 수 있는 정보가 있다면 오히려 믿을 수도 있겠습니다만, 위 2가지 메일의 첨부파일 이름은 간단합니다. mail.html 이나 samsungcard_detail 등으로 시작됩니다. 누구에게나 해당되는 파일 이름이기 때문에 스패머들이 마치 공식처럼 보내기 좋겠죠.

 

---

 

위처럼 각종 스팸메일 첨부파일을 통한 해킹을 피하기 위해선 스스로 조심하는 것보다 내가 이메일을 무심코 열고, 다운받는 행위 자체를 차단할 수 있도록 하는 방법이 더 좋다고 생각됩니다. 공식 어플을 설치하셔서 불안요소를 조금이라도 지우셨으면 좋겠습니다.