"로그인 코드가 포함된 원치 않는 메시지를 받았을 때 수행할 작업"

일회성 코드와 2단계 인증은 계정 도용으로부터 안전하게 보호합니다. 

로그인하지 않을 때 이러한 코드나 입력 요청을 받으면 

계정을 해킹하려는 시도일 수 있습니다.

지난 몇 년 동안, 우리는 온라인 뱅킹 등 중요한 웹사이트와 앱에 로그인할 때 비밀번호와 추가 인증 방법을 함께 사용하는 것에 익숙해졌습니다. 

이러한 추가 인증 방법은 휴대폰 문자메시지, 이메일 또는 푸시 알림을 통해 전송되는  일회용 비밀번호(OTP), 인증 앱에서 생성되는 코드, 심지어 특별한 USB 장치("토큰") 등이 있습니다. 

이러한 로그인 방법을 2단계 인증(2FA)이라고 하며, 암호를 도용하거나 추측하는 것만으로는 계정을 해킹하기에는 충분하지 않게 만듭니다. 

그렇다면 아무 곳에 로그인을 시도하지 않았는데 갑자기 일회용 코드를 받거나 그 코드를 입력하라는 요청을 받았을 때 어떻게 해야 할까요?

해킹 시도: 해커들이 어떤 방법으로든 여러분의 비밀번호를 알아낸 것 같습니다. 

이제 그들은 해당 계정에 접근하기 위해 비밀번호를 사용하려고 시도하고 있습니다. 여러분은 그들이 접근하려는 서비스로부터 진짜 로그인 한 것 같은 메시지를 받았습니다.

해킹 대비: 해커들은 여러분의 비밀번호를 알아냈거나 여러분을 속여서 비밀번호를 알아내도록 하려고 합니다. 

이 경우, 일회용 비밀번호(OTP) 메시지는 피싱의 한 형태일 수 있습니다. 

이 메시지는 가짜일지라도, 진짜와 매우 유사하게 보일 수 있습니다.

단순한 실수: 가끔 온라인 서비스에서는 먼저 문자 메시지로 확인 코드를 요청한 후 다음 비밀번호를 요구하거나, 또는 단일 코드로 인증하는 방식으로 설정되어 있을 수 있습니다. 이 경우, 다른 사용자가 실수로 오타로 인해 여러분의 전화번호/이메일을 입력한 것일 수 있으며, 그래서 여러분이 그 코드를 받게 되는 것입니다.

가장 중요한 것은, "예/아니오" 형태로 된 메시지의 확인 버튼을 클릭하지 말고, 어디에도 로그인하지 말고,

 받은 코드를 아무에게도 공유하지 않는 것입니다.

코드 요청 메시지에 링크가 포함되어 있다면, 해당 링크를 누르지 마세요.

이러한 것들이 가장 중요한 규칙입니다. 

로그인을 확인하지 않는 한 여러분의 계정은 안전합니다. 

그러나 여러분의 계정 비밀번호가 공격자에게 이미 알려져 있을 가능성이 매우 높습니다. 

따라서 다음으로 해야 할 일은 해당 계정의 비밀번호를 변경하는 것입니다. 

링크를 누르는것이 아니라 따로 해당 서비스의 웹 주소를 직접 입력하여 해당 서비스로 이동하세요. 

비밀번호를 입력하고 (이 부분이 중요합니다!) 새로운 확인 코드를 받아 입력하세요. 

그런 다음 비밀번호 설정을 찾아 새로운, 강력한 비밀번호를 설정하세요. 

다른 계정에 동일한 비밀번호를 사용하는 경우, 해당 계정의 비밀번호도 변경해야 하지만 각 계정마다 고유한 비밀번호를 만드셔야 합니다. 많은 비밀번호를 기억하기 어렵다는 것을 알고 있기 때문에, 전용 비밀번호 관리자에 저장하는 것을 강력히 권장합니다.

(비밀번호 변경)은 그리 급하진 않습니다. 

급하게 처리할 필요는 없지만 미루지도 마세요. 

은행과 같은 중요한 계정의 경우, 공격자는 문자로 전송된 OTP를 가로채려고 할 수 있습니다. 

이는 SIM 스와핑(새 SIM 카드를 여러분의 번호에 등록)이나 통신 사업자의 서비스 네트워크를 통해 SS7 통신 프로토콜의 결함을 이용한 공격을 통해 이루어집니다. 

따라서 악의적인 사람들이 이러한 공격을 시도하기 전에 비밀번호를 변경하는 것이 중요합니다.

일반적으로 문자로 전송된 일회용 코드는 인증 앱이나 USB 토큰보다 신뢰성이 떨어집니다. 

우리는 항상 가장 안전한 (2FA)2단계 인증 방법을 사용할 것을 권장합니다. 

다양한 이중 인증 방법에 대한 검토는 여기에서 확인할 수 있습니다.

로그인을 확인하도록 여러분을 유도하기 위해 해커들은 여러분에게 코드를 폭탄처럼 많이 보낼 수 있습니다. 

그들은 여러 번 계정에 로그인을 시도하며, 여러분이 실수로 "확인"을 클릭하거나 

짜증나서 서비스에 들어가서 (2FA) 2단계 인증을 해제하기를 기다릴수 있습니다.

여러분은 침착함을 유지하고 아무 행위도 하지 않아야 합니다.

가장 좋은 방법은 위에서 설명한 대로 직접 해당 서비스의 사이트로 이동하여 비밀번호를 빠르게 변경하는 것입니다.

그러나 이를 위해 여러분은 합법적인 OTP를 받아야 합니다.

일부 인증 요청(예: Google 서비스에 대한 로그인 경고)에는 별도의 "아니오, 나 아님" 버튼을 가지고 있습니다. 

일반적으로 이 버튼을 누르면 서비스 측의 자동화된 시스템이 공격자와 새로운 (2FA)2단계 인증 요청을 자동으로 차단합니다.

또는 가장 편한 설정은 아니지만 또 다른 옵션은 휴대폰을 무음으로 하거나 비행기 모드로 전환하여 코드의 횟수가 줄어들 때까지 약 30분 동안 사용하지 않는 것입니다.

이는 최악의 시나리오로, 아마도 공격자가 여러분의 계정에 접근할 수 있게 됐을 가능성이 높습니다.

 공격자들은 설정과 비밀번호를 신속하게 변경해버리기 때문에 여러분은 적극적으로 대처하고 해킹의 결과에 대처해야 할 것입니다. 이 시나리오에 대한 조언을 제공해 드리겠습니다. 

[참고] 

이 경우에 가장 좋은 방어 방법은 범죄자들보다 한 발 앞서나가는 것입니다.

: "si vis pacem, para bellum" (평화를 원한다면 전쟁에 대비하라). 

이것이 바로 우리의 보안 솔루션이 유용한 이유입니다. 이 솔루션은 이메일 주소와 전화번호를 포함한 여러분의 계정이 유출되거나 다크 웹에서 발견되는 것을 추적합니다. 가족 구성원의 전화번호와 이메일 주소를 추가하면, Kaspersky Premium은 계정 데이터가 공개되거나 유출된 데이터베이스에서 발견되면 여러분에게 알림을 보내고 대처 방법에 대한 조언을 제공할 것입니다.

구독에 포함된 Kaspersky Password Manager는 여러분에게 침해된 비밀번호에 대해 경고하고 변경하는 데 도움을 주며, 새로운 해독이 어려운 비밀번호를 생성해 줄 것입니다. 여러분은 또한 이에 2단계 인증 토큰을 추가하거나 Google Authenticator에서 쉽게 이를 전송할 수 있습니다. 개인 문서의 안전한 저장소는 여권 스캔이나 개인 사진과 같은 가장 중요한 문서와 파일을 암호화된 형태로 안전하게 보호하여 여러분만이 접근할 수 있도록 합니다.

게다가 여러분의 로그인 정보, 비밀번호, 인증 코드, 저장된 문서는 여러분의 컴퓨터, 스마트폰 또는 태블릿과 같은 장치에서 어디서든 사용할 수 있습니다. 따라서 스마트폰을 어떻게든 잃어버리더라도 데이터나 접근 권한을 잃지 않고 새로운 장치에서 손쉽게 복원할 수 있습니다. 또한 모든 데이터에 액세스하기 위해 다른건 필요없고 은행 표준 AES 데이터 암호화에 사용되는 하나의 암호(기본 암호)만 기억하면 됩니다.

"제로 디스클로저 원칙"을 통해 Kaspersky 직원을 포함한 아무도 여러분의 비밀번호나 데이터에 접근할 수 없습니다. 우리의 보안 솔루션의 신뢰성과 효과는 다수의 독립적인 테스트에서 확인되었으며, 최근에는 독립적인 유럽 연구소 AV-Comparatives에서 실시한 테스트에서 최고의 상품인 "올해의 제품 2023"을 수상한 가정 보호 솔루션의 사례가 있습니다.

[출처] 

One-time passwords and 2FA codes — what to do if you receive one without requesting it | Kaspersky official blog

#카스퍼스키 #kaspersky   #카스퍼스키보안 #카스퍼스키백신 #카스퍼스키구매 #카스퍼스키파트너 

<쇼핑몰 바로가기>

카스퍼스키몰

카스퍼스키 플래티넘 파트너 소프트정보서비스입니다.

보안 및 소프트웨어 상담 문의

감사합니다.

(주)소프트정보서비스

02-716-1915

sales@softinfo.co.kr