Maybank, CIMB & Public Bank 피싱: 말레이시아 가짜 은행 SMS 구별법

말레이시아 은행 계좌가 있다면, 은행을 사칭하는 의심스러운 SMS를 거의 확실히 받아본 적이 있을 것입니다. 말레이시아 은행 고객을 대상으로 한 피싱 공격이 전염병 수준에 달했습니다. 고객 기반 기준 3대 은행인 Maybank, CIMB, Public Bank가 가장 자주 사칭됩니다.

PDRM(말레이시아 왕립 경찰) 상업범죄수사부(CCID)는 2025년 말레이시아인들이 온라인 은행 사기로 RM6억 이상을 잃었다고 보고했습니다. 그리고 공격은 매달 더 정교해지고 있습니다.

은행 피싱 SMS의 구조

일반적인 피싱 SMS는 다음과 같습니다:

[Maybank] 의심스러운 활동으로 인해 계좌가 일시적으로 잠겼습니다. 즉시 확인하세요: maybank-secure.com/verify

또는:

CIMB: 무단 RM3,500 이체가 감지되었습니다. 본인이 아니라면 여기서 취소: cimb-alert.my/cancel

이 메시지들은 두 가지 심리적 트리거를 악용합니다: 두려움(돈이 위험에 처함)과 긴급성(지금 행동하지 않으면 모든 것을 잃음). 링크는 은행 로그인 페이지의 설득력 있는 복제본으로 연결됩니다.

이 가짜가 설득력 있는 이유

요소	실제	가짜
발신자 이름	"Maybank"로 표시될 수 있음	"Maybank"로도 표시됨(발신자 ID 위조 가능)
메시지 톤	전문적, 긴급성 없음	"즉시", "잠김" 같은 단어로 공포 유발
URL	maybank2u.com.my	maybank2u-secure.com, maybank-verify.my
요청	링크를 통해 비밀번호나 TAC를 요구하지 않음	TAC를 포함한 전체 자격 증명 요구

가장 위험한 측면은 발신자 ID 위조입니다. 사기꾼들은 자신의 SMS를 전화기에서 합법적인 은행 메시지와 같은 스레드에 표시할 수 있습니다. 즉, 가짜 메시지가 실제 Maybank 알림 바로 아래에 위치하여 진짜처럼 보입니다.

TAC(거래 인증 코드) 도용

TAC 코드는 온라인 뱅킹 거래의 마지막 방어선입니다. 사기꾼들은 이를 도용하기 위한 여러 방법을 개발했습니다:

방법 1: 피싱 페이지 릴레이

1. 피싱 링크를 클릭하고 사용자 이름과 비밀번호를 입력합니다.
2. 사기꾼의 시스템이 당신의 자격 증명을 사용하여 동시에 실제 은행 계좌에 로그인합니다.
3. 은행이 사기꾼의 거래를 위해 당신의 전화에 TAC를 전송합니다.
4. 피싱 페이지가 "확인을 위해" TAC를 입력하라고 요청합니다.
5. TAC를 입력하면 사기꾼이 이를 사용하여 거래를 완료합니다.

이것은 실시간으로 일어납니다. 전체 과정은 2분도 채 걸리지 않습니다.

방법 2: 전화 통화

피싱을 통해 로그인 자격 증명을 얻은 후, 사기꾼이 은행 직원을 사칭하여 전화합니다:

• "계좌에 의심스러운 로그인이 감지되었습니다."
• "보안을 위해 방금 전화로 보낸 코드를 확인해야 합니다."
• "6자리 숫자를 읽어주세요."

그들이 묻는 TAC는 실제로 당신의 계좌에서 시도하고 있는 거래를 위한 것입니다.

방법 3: SIM 스왑

더 표적화된 공격에서, 사기꾼들은 위조된 신분증으로 텔코 매장을 방문하여 당신의 번호에 대한 SIM 카드 교체를 요청합니다. 당신의 번호가 그들의 SIM에 있으면 모든 TAC 코드가 직접 그들에게 갑니다.

마카오 사기: 말레이시아에서 가장 비용이 큰 전화 사기

"마카오 사기"는 여러 전화 발신자가 다른 역할을 하는 정교한 전화 사기입니다:

1. 첫 번째 발신자는 배달 회사에서 전화한다고 하며, 찾지 않은 소포가 있다고 합니다.
2. 두 번째 발신자는 경찰관을 사칭하며, 당신의 신원이 자금세탁이나 마약 밀매와 연관되었다고 합니다.
3. 세 번째 발신자는 Bank Negara 관리나 법원 직원을 사칭하며, 조사를 위해 "안전 계좌"로 돈을 이체하라고 요구합니다.

전화를 건 사람들은 고도로 훈련되어 있습니다. 실제 경찰 계급을 사용하고, 실제 법률을 언급하며, 가짜 배지 번호까지 제공합니다. 고학력 전문직을 포함한 피해자들이 수십만 링깃을 잃었습니다.

마카오 사기 전화 식별법

• 어떤 정부 기관도 전화로 돈을 이체하라고 요청하지 않습니다. 절대로.
• 경찰은 전화로 진행 중인 수사를 알리지 않습니다. 공식 서한이나 방문을 받게 됩니다.
• 경찰이나 Bank Negara가 관리하는 "안전 계좌"는 존재하지 않습니다.
• 진짜 경찰은 전화로 즉각적인 체포를 위협하지 않습니다.

이런 전화를 받으면 끊으세요. CCID 사기 대응 센터 03-2610 1559로 전화하여 확인하세요.

말레이시아 은행 계좌 보호하기

즉각적인 조치

조치	방법
Secure2u 또는 동등 기능 활성화	SMS TAC를 앱 기반 승인으로 대체
거래 한도 설정	뱅킹 앱에서 일일 이체 한도 축소
거래 알림 등록	모든 거래에 대해 알림 받기
생체 인증 로그인 사용	뱅킹 앱에서 지문이나 Face ID 활성화
해외 이체 잠금	적극적으로 필요하지 않으면 비활성화

Secure2u와 앱 기반 인증

모든 주요 말레이시아 은행이 이제 앱 기반 거래 승인을 제공합니다:

• Maybank: Secure2u
• CIMB: SecureTAC
• Public Bank: PB SecureSign
• RHB: RHB Mobile Banking 승인
• Hong Leong: HLB Connect SecureSign

이 시스템은 인증된 뱅킹 앱 내에서 승인이 이루어지기 때문에 가로챌 수 있는 SMS를 통하지 않아 SMS TAC보다 훨씬 안전합니다.

SMS TAC에서 앱 기반 인증으로 전환하지 않았다면, 오늘 하세요. 이 한 가지 단계가 가장 일반적인 공격 벡터를 제거합니다.

은행 정보를 안전하게 공유하기

룸메이트와 월세를 나누거나, 고객에게 결제 안내를 보내거나, 급여 입금을 위해 은행 정보를 제공하는 등 은행 계좌번호, 거래 참조, 재무 정보를 다른 사람과 공유해야 하는 합법적인 상황이 있습니다.

이러한 정보를 카카오톡이나 WhatsApp, SMS를 통해 일반 텍스트로 보내는 것은 위험합니다. 어느 쪽 계정이든 침해되면 금융 정보가 노출됩니다. LOCK.PUB를 사용하면 비밀번호로 보호되고 만료되는 링크를 통해 은행 정보를 공유할 수 있습니다. 수신자가 한 번 정보에 접근하면, 링크가 자동으로 삭제되도록 설정할 수 있습니다.

피해를 입었다면 어떻게 해야 할까

첫 시간 안에 행동하세요 — 이것이 복구의 최선의 기회입니다:

1. 즉시 은행 사기 핫라인에 전화하세요:
   • Maybank: 03-5891 4744
   • CIMB: 03-6204 7788
   • Public Bank: 03-2170 8000
2. 즉각적인 계좌 동결을 요청하세요.
3. 가장 가까운 경찰서에 경찰 신고를 하세요.
4. **국가 사기 대응 센터(NSRC)**에 997로 전화하세요 — 이 핫라인은 은행과 협력하여 긴급 자금 동결을 합니다.
5. 안전한 기기에서 모든 뱅킹 비밀번호를 변경하세요.

한 발 앞서기

말레이시아의 은행 사기는 AI 기반 피싱과 딥페이크 음성 통화가 곧 등장할 정도로 빠르게 진화하고 있습니다. 최선의 방어는 여전히 단순합니다: SMS의 링크를 절대 클릭하지 말고, TAC 코드를 절대 공유하지 말며, 오늘 앱 기반 인증으로 전환하세요.

---

금융 정보를 보호하세요. LOCK.PUB에서 은행 세부사항과 민감한 데이터를 안전하게 공유하세요.