CloudJoy의 창립자이자 보안 제품 전문가인 샘 미트로빅이 최근 자신이 어떻게 속았는지에 대한 자세한 블로그를 발표함.
그는 Gmail 계정 복구를 위한 승인 알림을 모방한 이메일을 받았고, 그 후 "Google Sydney"라는 발신자 ID로 전화가 걸려옴.
일주일 후, 그는 또 다른 Gmail 복구 알림과 전화를 받았고, 첫 번째와 마찬가지로 전화는 Google 지원 페이지에 나와 있는 정당한 전화번호에서 걸려옴. 발신자는 그의 계정이 해외에서 일주일 이상 로그인되어 있었고, 계정과 관련된 개인 데이터가 다운로드되었다고 말함.
그 후, 그는 요청한 이메일을 받았고, 같은 문제에 대한 알림이 텍스트 형식으로 전달됨. 이메일은 Google 도메인에서 발송되어 거의 누구나 속일 수 있음. 미트로빅은 전화를 받았을 때 사기라고 의심하고 더 깊이 파고들기 시작함. Reddit과 같은 온라인 포럼의 도움으로 그는 이것이 실제로 그의 Gmail 계정을 탈취하려는 스푸핑 시도임을 확인함.
Google Workspace 지원과 동일한 정당한 전화번호, Salesforce CRM을 사용하여 스푸핑된 Google 도메인의 이메일, 그리고 그럴듯한 AI 음성 봇이 결합되어 대부분의 사용자를 속일 수 있음. 많은 사용자들이 범죄자에게 Gmail 자격 증명을 쉽게 넘겨줄 수 있음.
몇 년 전만 해도 이러한 사기는 실제 인력을 필요로 했지만, 현실감 있는 AI 음성 모델의 출현으로 인해 더욱 간단해짐. 이제 문제를 일으키는 사람은 이러한 시도를 수천 번 동시에 시작할 수 있음.
이 사례는 해커들이 가짜 이메일, 전화번호, AI 봇을 조합하여 정당한 사용자를 속이는 방법을 사용하고 있음을 증명함. 현재로서는 이러한 일이 발생하지 않도록 하는 완벽한 방법은 없지만, 경계를 유지하는 것이 Gmail 계정을 안전하게 지키는 데 도움이 될 수 있음. 오늘날 우리의 Gmail 계정은 사실상 우리의 디지털 정체성으로, 개인적 및 직업적 용도로 사용됨.
몇 가지 요점:
Google은 귀하의 Gmail 계정에 대해 거의 전화를 걸지 않음: 귀하의 계정이 Google 비즈니스 프로필에 연결되어 있지 않는 한, 일반적으로 이메일을 통해 먼저 연락함.
Google에 비즈니스 프로필이 있는 경우 의심스러운 전화를 받으면 번호를 교차 확인함: Truecaller와 같은 플랫폼을 사용하여 다른 사람들이 해당 번호를 "사기"로 표시했는지 확인함.
정기적으로 Gmail 활동을 확인함: 무단 접근이 의심되는 경우 프로필 사진을 클릭하고 > Google 계정 관리 > 데이터 및 개인 정보 > 내 활동을 클릭하여 계정 활동을 검토함.
데이터가 새로운 금이 되는 이 시대에 해커들은 사용자를 속이고 디지털 계정에 접근하여 개인 데이터를 훔치기 위한 정교한 방법을 개발할 것임. 이러한 시도로부터 안전하게 지키는 유일한 방법은 경계를 유지하는 것임.
