글로벌 사이버 보안 기업 가디오(Guardio)가 피싱 공격의 주요 동향을 분석한 2025년 1분기 브랜드 피싱 보고서를 발표했다.

2025년 1분기 주요 피싱 사기

보고서에서 나타난 사기에 사칭되는 10대 브랜드는 스팀(Steam), 마이크로소프트, 페이스북/메타, 로블록스(Roblox), 선패스(SunPass), 이즈패스(E-ZPass), USPS, 이즈드라이브 매사추세스(EZDrive Massachusetts), 넷플릭스, 위트랜스퍼(WeTransfer) 등이다.

스팀이 처음으로 피싱 사기에서 가장 많이 사칭된 브랜드 목록의 선두를 차지했다. 스팀은 전 세계적으로 이용자가 많고 게임 아이템 등 금전적 가치가 높아, 해커와 사기꾼이 계정 탈취나 피싱 대상으로 자주 사칭한다.

사기꾼은 스팀 지원을 사칭하고 결제 실패 또는 의심스러운 로그인과 같은 계정 문제에 대한 가짜 경고를 발행해 게이머를 표적으로 삼았다. 이러한 공격은 가짜 웹사이트를 통해 사용자 자격 증명을 훔치는 것을 목표로 하며, 종종 저장된 결제 방법 또는 스팀 월렛 자금을 악용했다.

한편, 통행료 사기가 주요 트렌드로 부상했으며, ‘선패스(SunPass)’, ‘E-ZPass’, ‘EZDrive Massachusetts’ 세 가지 징수 서비스가 사이버 범죄자가 가장 많이 표적으로 삼는 상위 10개 브랜드에 등장했다.

이는 이전에는 통행료 관련 사기가 주요 초점이 아니었으나, 연초 이후 통행료 관련 사기 문자 메시지가 604% 증가했으며, 이러한 새로운 피싱 전술의 정교함이 증가하고 있음을 강조한다.

한편, 사기꾼은 사람들의 세금 신고에 대한 우려를 악용해 IRS 및 기타 세금 서비스를 사칭하고 민감한 금융 정보를 훔치려고 시도한다. 대표적인 사례로, 사기꾼은 Joann 및 Forever 21을 포함한 매장 폐점의 물결을 이용하여 가짜 '폐업 세일' 캠페인을 제작한다.

이러한 가짜 거래는 피해자를 유인 배송되지 않을 상품에 대한 결제 세부 정보를 입력하도록 만든다.

한편, AI 기술의 발전으로 피싱 사기의 규모와 정교함이 확대됨에 따라 소비자가 첨단 기술을 사용하여 보호를 유지하는 것이 중요해졌다. AI가 계속 발전함에 따라 사기꾼은 이를 점점 더 많이 사용해 신뢰할 수 있는 브랜드를 모방하는, 설득력 있는 대규모 공격을 생성한다.

인간의 눈으로는 더 이상 이러한 정교한 위협을 감지하기 충분하지 않다. 이에 보고서는 포괄적인 보안 도구를 사용하여 이러한 진화하는 피싱 공격이 받은 편지함에 도달하기 전에 식별하고 차단하는 것이 중요하다고 전했다.