소비자에게 확인 코드를 보내는 문자 메시지를 이용해 보안 체계를 해독, 그들의 계정에서 거래 내역을 확인할 수 있는 유명한 악성 프로그램인 스파이아이 트로이(the SpyEye Trojan)에 의해 가해지는 새로운 공격이 발견됐다.
트러스틸 연구팀은 고객의 온라인 뱅킹 계정에서 휴대폰 번호를 변경하고 범죄 폰으로 문자 메시지를 빼낸다고 말했다. 이후 이들은 별다른 절차 없이 고객의 계정에서 거래를 수행할 수 있다.
연구진에 따르면 공격은 다음과 같이 작동한다.
악성 코드는 먼저 고객 계정에서 로그인 정보를 끌어온다. 이 도둑은 은행이나 소비자에 의해 감지되지 않고 그 계정에 액세스할 수 있다.
다음은 소셜 엔지니어링 방법의 일부가 필요한데, 이는 원래 은행 거래를 위해 고객 휴대폰 번호를 활성화하기 위해 사용되는 진본 확인 코드를 획득하는데 사용되어진다.
그것은 고객 폰에 있는 웹브라우저에 폰 페이지에 침입한 악성 코드에 의해 가짜 페이지가 심어진다. 이 페이지는 겉보기에는 고객의 은행으로부터 새로 시행한 새로운 시큐리티 시스템이 온 것처럼 보인다. 모든 고객들은 전화 번호로 이 소식을 제공받고, 우편으로 특별한 SIM 카드를 받게 될 것이다.
그러나 필수 프로그램에 참여하는 고객은 은행에 등록해야 한다. 이때 블랙 햇은 해당 등록 절차의 일부는 물론, 진본 확인 코드를 입력하는 것도 포함한 모든 것을 캡쳐할 수 있다.
이 코드를 획득한 도둑은 소비자 계정에 로그인과 관련된 핸드폰 번호를 변경할 수 있다. 이들은 고객이 로그인해서 무단 인출과 지출이 된 상황을 알아채기 전까지 고객의 계정으로부터 로그인한 뒤, 자금을 지속적으로 다른 데로 빼돌릴 수 있다.
연구진은 "이런 최근의 스파이아이의 구성은 SMS를 기반으로 한 비즈니스 솔루션을 포함해 OOBA(Out-Of-Band Authentication) 시스템이 쉽게 만들 수 있는 시스템이 아니라는 것을 보여준다"고 결론지었다.
MITB(Man In The Browser injection) 기술과 소셜 엔지니어링, 프로드스터(fraudsters)의 조합 사용하면 그들 자신이 사기검출 시스템의 레이더망을 피해 트랜잭션 거래내역을 확인하는 시간을 벌 수 있다.
스파이아이에 감염된 컴퓨터를 새로운 공격을 물리칠 유일한 방법은 MITB 기법를 막아낼 엔드포인트 보안을 사용하는 것이다. 보안에 접근하는 단계가 없으면 아주 정교하게 만들어진 OOBA 계획도 무용지물이 될 수 있다. editor@itworld.co.kr