2018.05.29

IT 서비스 장애를 이용한 TSB 피싱 공격 사례

Steve Ragan | CSO
지난 4월, 영국 소매 상업 은행인 TSB는 IT 업그레이드를 위해 일부 시스템을 종료하겠다고 발표했다.

4월 20일 오후 4시부터 6시까지 TSB 고객들은 온라인 뱅킹, 지불 결제, 이체와 같은 시스템을 사용할 수 없었다. 그러나 업그레이드는 재앙이었고 한달 후에도 고객들은 여전히 문제를 겪고 있었다.

이 문제는 사이버범죄자들이 이를 악용하면서 더욱 악화됐는데, 사고가 발생한 후, 이 문제에 초점을 맞춘 피싱 이메일과 문자 메시지 공격이 시작된 것이다.

영국의 국가 사기 및 사이버범죄 보고 센터인 액션 프라우드(Action Fraud)는 TSB 관련 피싱이 4월에 30건에서 5월에 321건으로 급상승했다고 말했다. 이 수치는 경찰에 공식적으로 보고된 것만 등재된 것이다.


TSB 피싱 이메일. Credit: Claire Thomas

TSB 공격은 이메일이나 문자 메시지로 시작된다. 범죄자의 이메일은 TSB를 둘러싼 문제들이 해결됐거나 최소한 피해자가 원하는 내용을 담고 있다.

TSB에 문제를 겪고 있는 사람이라면 이 메시지는 환영할만한 소식이므로 메시지 자체가 일반적으로 은행에서 오는 형식이 아님을 간과할 수 있다. 이는 수신자에게 전달되고 일반적인 인사말을 사용한다.

문자 메시지를 통한 피싱(SMS 피싱)이라면 좀 더 직접적이다. 이 메시지는 TSB 계정이 일시 중지됐으며, 해당 URL을 방문해 문제를 해결하라고 지시한다. 그러나 이 URL은 분명히 TSB 도메인이 아니다.

두 경우 모두, 범죄자는 TSB 광고로 속이고 피해자가 작은 세부사항에 주의를 기울이지 않기를 바라고 있다. 이 논리는 범죄자들이 만든 실제 웹사이트를 본다면 명백해진다.

이 도메인에는 유효한 SSL 인증서(HTTPS가 있음)가 있으며, 웹 사이트 디자인은 실제 TSB 로그인 페이지와 거의 동일하다. 유일한 차이점이라면 URL 자체가 합법적이지 않다는 것이다. 확인해보면 실제 TSB 웹 사이트 또한 그리 예쁘게 보이지 않는다.


TSB 피싱 웹사이트. Credit: Claire Thomas

보안 교육을 받은 이들은 은행 업무와 관련해 도메인이 HTTPS인지를 확인하도록 훈련받았을 것이다. 그래서 일부 사람의 경우, HTTPS가 있으면 해당 웹 사이트가 합법적이라 판단하고 세부 정보를 입력할 수 있다. 하지만 이것이 문제가 된다. 왜냐하면 웹 주소(URL)가 합법적이지 않기 때문에 HTTPS 존재 여부와는 상관없이 이 웹 사이트는 가짜다.

주소가 예상한 것과 다른 경우 사기라는 점을 기억해야 한다. HTTPS만으로 정당성을 증명하기에는 충분하지 않지만, HTTPS가 표준이 되고 있으므로 범죄자들은 HTTPS를 사용하는 것을 어려워한다. 하지만 이 경우, 범죄자는 도메인을 등록한 후 일치하는 인증서를 등록했다.

이 사건이 주는 교훈, 서두르지 마라 
TSB에서 발생한 사건과 같은 상황은 사이버범죄자들에게는 엄청난 먹이감이 된다. 일반인들은 혼돈과 혼란 속에서 매우 감정적으로 활동할 수 있기 때문이다. 고객들은 화가 나고 감정적인 상태이기 때문에 문맥에 대한 명확한 이해 없이 링크를 클릭하거나 질문에 답할 수 있다.



동영상에서는 사이버범죄자와 피해자의 관점에서 TSB 피싱 공격을 살펴본다. 또한 관리자가 서버에서 실제 작업을 수행할 때, 이런 키트들을 탐지하기 위해 실행할 수 있는 몇 가지 작업에 대해서도 검토한다. editor@itworld.co.kr  


2018.05.29

IT 서비스 장애를 이용한 TSB 피싱 공격 사례

Steve Ragan | CSO
지난 4월, 영국 소매 상업 은행인 TSB는 IT 업그레이드를 위해 일부 시스템을 종료하겠다고 발표했다.

4월 20일 오후 4시부터 6시까지 TSB 고객들은 온라인 뱅킹, 지불 결제, 이체와 같은 시스템을 사용할 수 없었다. 그러나 업그레이드는 재앙이었고 한달 후에도 고객들은 여전히 문제를 겪고 있었다.

이 문제는 사이버범죄자들이 이를 악용하면서 더욱 악화됐는데, 사고가 발생한 후, 이 문제에 초점을 맞춘 피싱 이메일과 문자 메시지 공격이 시작된 것이다.

영국의 국가 사기 및 사이버범죄 보고 센터인 액션 프라우드(Action Fraud)는 TSB 관련 피싱이 4월에 30건에서 5월에 321건으로 급상승했다고 말했다. 이 수치는 경찰에 공식적으로 보고된 것만 등재된 것이다.


TSB 피싱 이메일. Credit: Claire Thomas

TSB 공격은 이메일이나 문자 메시지로 시작된다. 범죄자의 이메일은 TSB를 둘러싼 문제들이 해결됐거나 최소한 피해자가 원하는 내용을 담고 있다.

TSB에 문제를 겪고 있는 사람이라면 이 메시지는 환영할만한 소식이므로 메시지 자체가 일반적으로 은행에서 오는 형식이 아님을 간과할 수 있다. 이는 수신자에게 전달되고 일반적인 인사말을 사용한다.

문자 메시지를 통한 피싱(SMS 피싱)이라면 좀 더 직접적이다. 이 메시지는 TSB 계정이 일시 중지됐으며, 해당 URL을 방문해 문제를 해결하라고 지시한다. 그러나 이 URL은 분명히 TSB 도메인이 아니다.

두 경우 모두, 범죄자는 TSB 광고로 속이고 피해자가 작은 세부사항에 주의를 기울이지 않기를 바라고 있다. 이 논리는 범죄자들이 만든 실제 웹사이트를 본다면 명백해진다.

이 도메인에는 유효한 SSL 인증서(HTTPS가 있음)가 있으며, 웹 사이트 디자인은 실제 TSB 로그인 페이지와 거의 동일하다. 유일한 차이점이라면 URL 자체가 합법적이지 않다는 것이다. 확인해보면 실제 TSB 웹 사이트 또한 그리 예쁘게 보이지 않는다.


TSB 피싱 웹사이트. Credit: Claire Thomas

보안 교육을 받은 이들은 은행 업무와 관련해 도메인이 HTTPS인지를 확인하도록 훈련받았을 것이다. 그래서 일부 사람의 경우, HTTPS가 있으면 해당 웹 사이트가 합법적이라 판단하고 세부 정보를 입력할 수 있다. 하지만 이것이 문제가 된다. 왜냐하면 웹 주소(URL)가 합법적이지 않기 때문에 HTTPS 존재 여부와는 상관없이 이 웹 사이트는 가짜다.

주소가 예상한 것과 다른 경우 사기라는 점을 기억해야 한다. HTTPS만으로 정당성을 증명하기에는 충분하지 않지만, HTTPS가 표준이 되고 있으므로 범죄자들은 HTTPS를 사용하는 것을 어려워한다. 하지만 이 경우, 범죄자는 도메인을 등록한 후 일치하는 인증서를 등록했다.

이 사건이 주는 교훈, 서두르지 마라 
TSB에서 발생한 사건과 같은 상황은 사이버범죄자들에게는 엄청난 먹이감이 된다. 일반인들은 혼돈과 혼란 속에서 매우 감정적으로 활동할 수 있기 때문이다. 고객들은 화가 나고 감정적인 상태이기 때문에 문맥에 대한 명확한 이해 없이 링크를 클릭하거나 질문에 답할 수 있다.



동영상에서는 사이버범죄자와 피해자의 관점에서 TSB 피싱 공격을 살펴본다. 또한 관리자가 서버에서 실제 작업을 수행할 때, 이런 키트들을 탐지하기 위해 실행할 수 있는 몇 가지 작업에 대해서도 검토한다. editor@itworld.co.kr  


X