IT 서비스 장애를 이용한 TSB 피싱 공격 사례

CSO
지난 4월, 영국 소매 상업 은행인 TSB는 IT 업그레이드를 위해 일부 시스템을 종료하겠다고 발표했다.

4월 20일 오후 4시부터 6시까지 TSB 고객들은 온라인 뱅킹, 지불 결제, 이체와 같은 시스템을 사용할 수 없었다. 그러나 업그레이드는 재앙이었고 한달 후에도 고객들은 여전히 문제를 겪고 있었다.

이 문제는 사이버범죄자들이 이를 악용하면서 더욱 악화됐는데, 사고가 발생한 후, 이 문제에 초점을 맞춘 피싱 이메일과 문자 메시지 공격이 시작된 것이다.

영국의 국가 사기 및 사이버범죄 보고 센터인 액션 프라우드(Action Fraud)는 TSB 관련 피싱이 4월에 30건에서 5월에 321건으로 급상승했다고 말했다. 이 수치는 경찰에 공식적으로 보고된 것만 등재된 것이다.


TSB 피싱 이메일. Credit: Claire Thomas

TSB 공격은 이메일이나 문자 메시지로 시작된다. 범죄자의 이메일은 TSB를 둘러싼 문제들이 해결됐거나 최소한 피해자가 원하는 내용을 담고 있다.

TSB에 문제를 겪고 있는 사람이라면 이 메시지는 환영할만한 소식이므로 메시지 자체가 일반적으로 은행에서 오는 형식이 아님을 간과할 수 있다. 이는 수신자에게 전달되고 일반적인 인사말을 사용한다.

문자 메시지를 통한 피싱(SMS 피싱)이라면 좀 더 직접적이다. 이 메시지는 TSB 계정이 일시 중지됐으며, 해당 URL을 방문해 문제를 해결하라고 지시한다. 그러나 이 URL은 분명히 TSB 도메인이 아니다.

두 경우 모두, 범죄자는 TSB 광고로 속이고 피해자가 작은 세부사항에 주의를 기울이지 않기를 바라고 있다. 이 논리는 범죄자들이 만든 실제 웹사이트를 본다면 명백해진다.

이 도메인에는 유효한 SSL 인증서(HTTPS가 있음)가 있으며, 웹 사이트 디자인은 실제 TSB 로그인 페이지와 거의 동일하다. 유일한 차이점이라면 URL 자체가 합법적이지 않다는 것이다. 확인해보면 실제 TSB 웹 사이트 또한 그리 예쁘게 보이지 않는다.


TSB 피싱 웹사이트. Credit: Claire Thomas

보안 교육을 받은 이들은 은행 업무와 관련해 도메인이 HTTPS인지를 확인하도록 훈련받았을 것이다. 그래서 일부 사람의 경우, HTTPS가 있으면 해당 웹 사이트가 합법적이라 판단하고 세부 정보를 입력할 수 있다. 하지만 이것이 문제가 된다. 왜냐하면 웹 주소(URL)가 합법적이지 않기 때문에 HTTPS 존재 여부와는 상관없이 이 웹 사이트는 가짜다.

주소가 예상한 것과 다른 경우 사기라는 점을 기억해야 한다. HTTPS만으로 정당성을 증명하기에는 충분하지 않지만, HTTPS가 표준이 되고 있으므로 범죄자들은 HTTPS를 사용하는 것을 어려워한다. 하지만 이 경우, 범죄자는 도메인을 등록한 후 일치하는 인증서를 등록했다.

이 사건이 주는 교훈, 서두르지 마라 
TSB에서 발생한 사건과 같은 상황은 사이버범죄자들에게는 엄청난 먹이감이 된다. 일반인들은 혼돈과 혼란 속에서 매우 감정적으로 활동할 수 있기 때문이다. 고객들은 화가 나고 감정적인 상태이기 때문에 문맥에 대한 명확한 이해 없이 링크를 클릭하거나 질문에 답할 수 있다.



동영상에서는 사이버범죄자와 피해자의 관점에서 TSB 피싱 공격을 살펴본다. 또한 관리자가 서버에서 실제 작업을 수행할 때, 이런 키트들을 탐지하기 위해 실행할 수 있는 몇 가지 작업에 대해서도 검토한다. editor@itworld.co.kr