By DAN GOOIN, ARS TECHNICA , WIRED US

IBM Trusteer의 조사원들은 모바일 장치 에뮬레이터 네트워크를 사용하여 며칠 만에 온라인 은행 계좌에서 수백만 달러를 인출한 대규모 사기 행위를 적발했다고 한다.

그 사기의 규모는 조사원들이 이전에 보았던 그 어떤 것과도 달랐다. 한 예로, 사기꾼들은 모바일 은행 계좌가 손상된 고객 소유의 1만 6천 대 이상의 전화기를 흉내내기 위해 약 20개의 에뮬레이터를 사용했다. 이와는 별도로 단일 에뮬레이터가 8,100개 이상의 장치를 도용할 수 있었다.

그리고 그들은 에뮬레이터에서 실행되는 은행 앱에 사용자 이름과 암호를 입력하고 손상된 계좌에서 자금을 빼돌리는 사기성 우편환을 시작했다. 에뮬레이터는 합법적인 개발자와 연구자가 다양한 모바일 장치에서 앱이 실행되는 방법을 테스트하기 위해 사용한다.

은행들이 그러한 공격을 차단하기 위해 사용하는 보호를 우회하기 위해, 사기꾼들은 손상된 각 계정 소유자와 해당 장치가 사용하는 것으로 알려진 도용된 GPS 위치에 해당하는 장치 식별자를 사용했다. 기기 ID는 소유자의 해킹된 기기에서 얻었을 가능성이 높지만, 어떤 경우에는 사기범들이 새로운 전화기로 자신의 계정에 접속하는 고객인 것처럼 보였다. 또한 공격자는 SMS 메시지에 접근하여 다중 요소 인증을 무시할 수 있었다.
 

부정 행위 자동화

IBM Trusteer의 조사원 샤차르 그리츠만(Shachar Gritzman)과 리모르 케셈(Limor Kessem)은 게시물에서 "이러한 모바일 부정 행위 작업은 계정 접근, 거래 시작, 두 번째 인증(이 경우 SMS)를 받고 훔치는 과정을 자동화해 냈다. 그리고 많은 경우에서 이러한 코드를 사용하여 불법 거래를 완료했다. 조직이 만든 데이터 소스, 스크립트 및 사용자 지정된 애플리케이션이 단 한 번의 자동화된 프로세스로 흘러들어, 피해를 입은 각 은행에서 며칠 만에 수백만 달러를 강탈할 수 있게 되었다."라고 했다.

사기꾼들은 계정을 성공적으로 빼낼 때마다 계정에 접근한 도용된 장치를 폐기하고 새 장치로 교체했다. 해커들은 또한 은행의 부정 행위 방지 시스템에 의해 거부될 경우 장치를 껐다. 시간이 지남에 따라 IBM Trusteer는 운영자들이 서로 다른 공격을 시작하는 것을 목격했다. 공격이 끝나면 공격자가 작업을 종료하고 데이터 추적을 지우고 새 작업을 시작한다.

연구원들은 은행 계좌가 악성 프로그램이나 피싱 공격을 통해 손상되었다고 믿고 있다. IBM Trusteer 보고서는 사기꾼들이 어떻게 SMS 메시지와 장치 ID를 훔쳤는지 설명하지 않는다. 그 은행들은 미국과 유럽에 위치해 있었다.

실시간으로 운영 진행 상황을 모니터링하기 위해 사기꾼들은 도용된 장치와 은행의 애플리케이션 서버 간의 통신을 가로챘다. 또한 공격자는 로그와 스크린샷을 사용하여 시간 경과에 따른 작업을 추적했다. 작전이 진행됨에 따라, 연구원들은 사기꾼들이 이전의 실수로부터 배우면서 공격 기법이 발전하는 것을 보았다.

이 사건은 강력한 암호 사용, 피싱 사기 발견 방법 및 장치에 악성코드가 없도록 하는 방법에 대한 일반적인 보안 조언을 강조한다. 은행들이 SMS 이외의 매체를 통해 다요소 인증을 제공한다면 좋을 것이지만 금융기관은 거의 그렇지 않다. 사람들은 사기 거래를 찾기 위해 적어도 한 달에 한 번은 은행 명세서를 검토해야 한다.

ARS 테크니카
이 이야기는 원래 기술 뉴스, 기술 정책 분석, 리뷰 등을 위한 신뢰할 수 있는 출처인 아르스 테크니카에 실렸습니다. ARS 테크니카는 WIRED의 모회사인 Condé Nast가 소유하고 있습니다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 배효린 에디터)

<기사원문>
A massive fraud operation stole millions from online bank accounts