신용카드 번호를 포함한 기밀정보를 제3자에게 누설해 사기 피해를 입는 사례는 전 세계에서 끊이지 않고 있는데, 도대체 어떤 경위로 정보가 새어나가는지에 대해 보안계 뉴스를 내보내는 Krebs on Security가 설명하고 있는데....
스마트폰을 가지고 있는 사람이라면, '짐을 전달하러 갔는데 부재중이었습니다', '요금 미지급이 발생하고 있습니다'와 같은 SMS를 받고 있을 가능성이 높을 것이다.
Krebs on Security에 의하면, 미국의 우편 서비스를 속인 피싱 메세지등은 중국의 사이버 범죄자가 판매하는 피싱·키트를 통해서 송신되고 있을 가능성이 높다고 하는데, 이러한 키트를 통해서 송신된 메시지를 경유해 피싱 사이트에 접속해 버리면, 기밀 정보를 빼내 버릴 위험성이 있다고 Krebs on Security는 경고하고 있다.
Krebs on Security가 말하기를, 이러한 사이트는 피해자의 데이터를 최대한 끌어내기 위해 몇 가지 혁신적인 기술을 구사하고 있다고 하는데, 예를 들어, 사이트를 방문한 사람은 정보를 입력했다고 해도 '송신' 버튼을 누르기 전에 멈출지도 모르지만, 사이트는 필드에 입력된 것을 실시간으로 캡처하고 있기 때문에, 만일 송신 버튼을 누르지 않아도 정보가 세어나가 버린다고 한다.
만일 의심하지 않고 신용카드 번호 등을 송신한 사람은, 본인 확인을 위한 1타임 패스워드를 금융기관으로부터 받아, 사이트에 입력하고, 사기꾼은 이 정보를 Apple이나 Google의 모바일 지갑에 링크시켜, 정보를 링크시킨 스마트폰을 대당 몇 십만원에 대량으로 판매하고 있다고 한다.
더불어, '카드를 처리하지 못했습니다'라는 메시지를 내고 다른 카드를 사용하도록 독려해, 피해자 1명당 여러 정보를 훔치는 수법도 확인되고 있다.
미국의 싱크탱크 「전략 국제 문제 연구소」에서 일하는 전문가에 의하면, 중국의 사기 집단은 몇개의 테크닉을 사용해 사기를 시도하고 있다고 하며, 예를 들면, 피싱 사이트는 정보를 「안전하게」보관하기 위해 만일 사이트가 폐쇄되어도 정보를 나중에 확인할 수 있다고 하는 특징이나, 대량으로 작성된 Apple이나 Google의 어카운트를 사용해 스팸 메세지를 송신하는 등의 특징이 있다.
후자는 모두 인간의 손으로 행해지고 있으며, 대량의 스마트폰이 랙에 설치되어 있는 이미지 등이 나돌고 있다.
또 다른 기술은, 훔친 카드 정보를 이미지화하는 것으로, 이 이미지를 iPhone으로 스캔하면, iPhone은 이미지가 진짜인지 가짜인지를 구별할 수 없기 때문에, 특별히 방해되는 일 없이 지갑에 등록할 수 있다고 하는 구조. 나머지는 피해자로부터 1시간 비밀번호를 받으면 탈취가 완료된다고 한다.
전문가에 따르면, 중국 범죄그룹이 2023년경 본격적으로 활동을 시작했을 때는, 다른 사람의 정보를 링크한 스마트폰을 판매하거나 사기에 사용하는 데 60일~90일 정도 기다려야 했지만, 2년이 지나면서 대기시간은 7일~10일 정도로 좁혀지고 있다고 한다.
보안회사 Resecurity의 조사에서는, 한 중국의 피싱 키트가 31개 도메인에서 총 10만8044장의 카드 정보를 수집하고 있는 것으로 나타났는데, 전문가는 "모바일 지갑화된 카드 1장당 100달러에서 500달러의 손실이 예상됩니다"고 지적하면서, 전체적으로는 1년간 약 150억달러의 부정 청구가 있었던 셈이라고 추산했다.
Krebs on Security는 "미국에서는 코로나19 팬데믹이 발생한 이후 터치리스 결제 채택이 한꺼번에 진행되면서, 많은 금융기관들이 결제 카드와 모바일 지갑을 쉽게 연결하기 위해 안간힘을 썼습니다. 그것을 위한 인증 요건은, 고객에게 SMS경유로 원타임 코드를 송신하는 것이 디폴트가 되고 있었습니다"라고 지적. 전문가들은 "원타임 코드를 계속 사용한 것이 이런 새로운 카드 범죄의 물결을 조장했다"고 덧붙였다.
덧붙여, Google은 SMS의 부정 이용의 영향을 경감할 목적으로, Gmail의 2 단계 인증 툴로서의 SMS 원타임 코드 송신을 폐지하려고 하고 있다고 보도되고 있다.
