12월, 도시는 화려해지지만 스마트폰의 알림 창은 이상하게 시끄러워진다. 세일, 여행, 배송 연락, 포인트와 마일리지의 기한…. 할 일이 많아지는 시기일수록 사람들은 “확인 작업”을 생략하고 싶어 한다. 이를 노리는 것이 이른바 **소셜 엔지니어링(감정을 자극하여 행동하게 만드는 사기)**이다. 연말은 "기다리던 물건", "사용하고 싶은 마일리지", "유리한 업그레이드" 등 미끼가 많다. Kaspersky는 12월에 많은 수법으로 5가지를 꼽고, 구체적인 자위책도 제시하고 있다. InfoMoney

※본 기사는 브라질 미디어 InfoMoney가 소개한 Kaspersky의 주의 환기(2025년 12월 23일 게재)를 바탕으로, 일본어 독자에게 배경 설명과 대책을 재구성한 오리지널 해설입니다. InfoMoney

먼저 알아둘 것: PIX와 CPF란 무엇인가?

이번 5가지 수법은 브라질 특유의 시스템(PIX=즉시 송금, CPF=납세자 번호)을 악용한다. 일본으로 치면, PIX는 “즉시 송금 앱”, CPF는 **“마이넘버에 가까운 식별 번호”**의 이미지다. 요컨대 "송금·본인 확인·공공 기관"을 암시하면 사람들은 반사적으로 따르기 쉽다. PIX 사기의 수법은 학문적으로도 분류·연구가 진행될 정도로 광범위하다. arXiv

1) "PIX를 받았습니다" 사기: 이득 본 기분을 들게 해 “다른 사이트”로 유도

수법: 모르는 발신자로부터 SMS가 도착하여, "PIX 입금이 있었다", "받으려면 링크를 클릭하라"고 유도한다. 그러나 링크는 온라인 게임 계열(예: 이른바 “tigrinho” 등)로 이동되며, "해제 수수료가 필요하다", "등록이 필요하다"고 말한다. InfoMoney

결말: 수수료로 지불한 돈이 빠져나갈 뿐만 아니라, 등록 시의 개인정보도 빼앗긴다. InfoMoney

대책(초구체)

• "수령"은 링크에서 하지 않는다. 기억이 있다면, 은행/결제 앱을 직접 열어 기록 확인.

• “소액의 수수료”라도 지불하지 않는다. 소액은 심리적 장벽을 낮추는 상투적인 수단. InfoMoney
  
  

2) 배송 “추가 요금(세금·수수료)” 사기: 이름과 CPF까지 내세워 신뢰하게 만듦

수법: Black Friday 이후 등, 배송 대기자가 늘어나는 시기에 메시지가 급증. 이메일이나 SMS로 "당신의 물건에 수수료가 필요하다"고 말하며, 링크의 가짜 페이지에서 지불을 유도. 화면에는 PIX의 QR 코드, 게다가 금액은 낮음. InfoMoney

결말: 지불한 돈은 “명의 대여 계좌” 등으로 보내져 회수가 어려워지기 쉽다. 대형 배송 회사 이름을 사칭하는 변종도. InfoMoney

대책

• 배송 상황은 공식 앱/공식 사이트에서 추적 번호를 직접 입력. SMS의 링크는 클릭하지 않는다.

• 개인정보(이름·CPF)가 나와도 안심하지 않는다. 유출 정보로 “그럴듯하게” 보일 뿐이다. InfoMoney
  
  

3) "CPF가 무효(취소)" 사기: 정부 사이트와 비슷하게 만들어 “지불”로 유도

수법: 세무 당국, 중앙은행, 연방 경찰 등의 이름을 사칭한 이메일이 도착. 링크는 gov.br과 유사한 가짜 사이트로, 주소나 노동 수첩 정보, 경우에 따라 부모 정보까지 표시하며 "CPF가 부정. 정규화를 위해 수수료를 지불하라"고 압박. 채팅 창에서 대화식으로 유도하는 변종도 있다. InfoMoney

결말: PIX로 지불한 돈은 명의 대여 계좌로. 회수는 어렵다. InfoMoney

대책

• 공공 기관을 사칭한 "지불 링크"는 먼저 의심한다.

• 공식 사이트는 직접 URL 입력하여 접근(이메일의 링크를 사용하지 않는다). InfoMoney
  
  

4) "마일리지 소멸" 사기: 여행 전의 초조함을 정밀하게 노림

수법: SMS/이메일로 "마일리지가 소멸했다/곧 소멸한다"고 알리고, 링크를 클릭하게 함. 이동한 곳은 포인트·마일리지의 공식 서비스로 보이는 가짜 사이트. InfoMoney

결말: 로그인 정보가 도난당해, 임의로 항공권이 발권되는 등 마일리지가 사라짐. InfoMoney

대책

• 기한 확인은 카드 회사/항공사의 공식 앱에서.

• 이중 인증이 있다면 반드시 ON(도난당해도 들어갈 수 없도록).
  
  
  

5) "신용카드 무료 업그레이드" 사기: 부유층을 노려, “은행 로그인”을 탈취

수법: 대형 은행을 사칭하여, "특전이 많은 카드로 무료 업그레이드"라는 달콤한 이야기를 SMS/이메일로 보냄. 링크에서 계좌 접근 정보를 입력하게 함. InfoMoney

결말: 얻은 정보는 다른 부정(추가 사기)에 전용됨. InfoMoney

대책

• “무료로 격상”은, 먼저 공식 안내인지 확인.

• 은행 로그인 정보를 링크에서 입력하지 않음(앱에서 처리할 수 있는지가 기준).
  
  
  

AI 시대의 “구별하기 어려움”이 추가 타격: URL 확인이 마지막 방어선

이전에는 "부자연스러운 일본어(포르투갈어)", "오타"가 구별 포인트였다. 그러나 지금은 AI로 문장이 정리되고, 가짜 사이트도 그럴듯하게 만들 수 있다. 그렇기 때문에, **URL(도메인)**의 작은 차이가 최대의 단서가 된다. 공식 이름과 비슷한 1글자 차이, 불필요한 점, 혼동하기 쉬운 서브도메인――이들은 위험 신호다. InfoMoney

Kaspersky식 "자위 10계명"을 “행동”으로 옮기기(초실천판)

InfoMoney의 기사에서는, 연말에 효과적인 10가지 대책이 열거되어 있다. 포인트는 "클릭 전에 한숨", "공식 경로로 돌아가기", "피해 면을 작게 하기"다. InfoMoney

• 너무 좋은 이야기를 의심하기(한정 할인·특별 초대는