미국 사이버 보안 기업 ProofPoint의 2020 피싱 코러스 현황 보고서 데이터에 따르면 전 세계적인 유행으로 인해 2020년 피싱 SMS 공격의 전 세계 성장률이 300% 이상 증가할 것으로 예상됩니다. 그 중 금융 기관을 대상으로 한 피싱 공격이 전체 공격의 22.5%를 차지하며 가장 큰 비중을 차지할 것으로 예상됩니다. 중국에서는 그 비율이 26.88%에 달합니다.
최근 '가짜 은행 SMS 피싱' 사례가 자주 발생하고 있으며, 중국 은행보험감독관리위원회(CBIRC)도 긴급 문서를 통해 여러 은행을 사칭해 서비스 정보를 전송하는 SMS 피싱 사기에 대한 위험 경보를 발령했습니다.
모든 징후는 범죄 집단들이 여러 은행의 사용자를 표적으로 삼고 있으며, 이는 사용자의 재산 안전을 심각하게 위협하고 주요 은행의 브랜드 이미지에 매우 나쁜 영향을 미칠 것입니다.
2012년에 전 세계적으로 WhatsApp과 같은 실시간 메시징 소프트웨어를 통해 매일 19억 건에 가까운 SMS 메시지가 전송된 반면, 기존 SMS 메시지는 176억 건에 그쳤습니다. 그 이후로 매년 사람들은 "SMS는 죽었다"고 외쳐왔습니다. 하지만 SMS는 죽지 않았을 뿐만 아니라 여전히 매일 휴대폰을 폭격하고 있습니다.
마케팅이 확산되면서 트래픽 전환에 드는 비용은 점점 더 높아지고 있습니다. 가장 많은 슬롯을 차지하는 오픈 스크린 광고를 예로 들어보겠습니다.
이 늦은 비율은 클릭률이 업계의 12% 상한선을 돌파하도록 설계되었습니다. SMS는 다릅니다:
모바일 스퀘어드에 따르면 모든 마케팅 채널의 문자 메시지 중 거의 90%가 수신 후 3분 이내에 열리고 읽혀지며, 이는 다른 어떤 다이렉트 마케팅 채널과도 비교할 수 없는 수치입니다.
SMS는 특유의 긴박감을 바탕으로 새로운 비즈니스 기회를 창출하고 있습니다. 일반 SMS 캡차 및 서비스 SMS 알림 외에도 점점 더 많은 은행이 신규 및 기존 고객을 홍보하기 위해 SMS를 사용하고 있습니다. 점점 더 많은 은행 사용자들이 SMS를 통해 은행과 소통하는 데 익숙해지고 있습니다.
피싱 공격을 위한 완벽한 환경에서 블랙 갱단은 주요 은행과 사용자의 정기적인 상호 작용을 모방하여 피싱 SMS 사기를 저지를 수 있습니다.
미국 연방수사국(FBI) 산하 인터넷 범죄 신고 센터(IC 3)의 조사 보고서에 따르면 지난 3년 동안 미국은 피싱 공격으로 인해 260억 달러 이상의 손실을 입었습니다. 중국에서는 2020년 이후 피싱 사기 정보를 차단하는 것만으로도 약 654.38+020억 위안의 경제적 손실을 직접적으로 예방할 수 있었습니다.
미국에서는 금융 부문을 대표하는 JP모건 체이스 은행이 넷플릭스, 애플과 함께 피싱 메시지로 가장 많이 모방된 브랜드로 선정되었습니다. '가짜 은행 피싱 이메일'의 위협은 전 세계로 확산되었습니다.
중국에서는 민생은행, 화샤은행, 중국상인은행, 중방은행, 귀주은행, 자싱은행, 후저우은행, 쿤룬은행, 정저우은행 등 많은 은행이 공식 채널을 통해 사용자에게 피싱 이메일을 보냈습니다. 는 공식 채널을 통해 사용자에게 위험 경고를 푸시하여 은행 문자 메시지를 사칭하는 새로운 사기 수법에 주의할 것을 상기시켰습니다.
셋째, 피싱 공격의 이면에 숨겨진 검은 그림자
초기 사이버 공격의 한 유형인 피싱 공격은 1990년대까지 거슬러 올라갈 수 있습니다. 모바일 인터넷의 발전과 함께 모바일 피싱 공격은 전통적인 피싱 공격을 기반으로 진화해 왔으며, 그 중 SMS 피싱 공격은 전통적인 피싱 공격의 변종입니다.
모바일 위협의 일환으로 '피싱 SMS' 공격은 인터넷에 대한 중요한 위협이 되었습니다. 다양한 정보 및 데이터 유출 사고가 지속적으로 발생하면서 이름, 휴대폰 번호, 은행 카드 번호, 신분증 정보 등 시민의 개인 정보가 협박범의 손이 닿을 수 있는 범위 내에 있습니다.
사회적으로 피싱 공격이 강조되면서 전통적인 공격 수단이 점차 사용자에게 익숙해지고 있으며, 단순한 정보 스푸핑과 유사한 웹사이트 콘텐츠 스푸핑으로는 피싱 공격을 성공적으로 달성하기 어렵습니다.
저비용, 저위험, 광범위한 확산망, 다중 수신 물고기 모델은 장점이 없으며, 협박 업계는 전문화, 조직화, 분업의 미세 조정으로 전환했습니다. 패킷 네트워크 서비스, SMS 채널, 도난 채널, 게임 요금 등 여러 블랙 및 그레이 산업 체인과 관련된 피싱 SMS 사기 조직이 점차 모습을 드러냈습니다.
1. 피싱 웹사이트:
위조의 핵심 고리인 이 부분은 기본적으로 데이터 외에 또 다른 하드 지출입니다. 가짜 은행 도메인 이름 탈취, 주요 은행을 모방한 공식 웹사이트, 휴대폰 인터페이스에 맞춘 수많은 피싱 웹사이트, 차단 절차를 구축하기 위해 서버를 신고하지 않고 미국이나 홍콩에서 구매 등.... 완전한 피싱 사이트 구축, 5년 전 가격은 약 수천 달러입니다.
분업이 점점 더 세분화되면서 피싱 웹사이트 구축, 도메인 이름 구매, 서버 임대, 웹사이트 유지보수 등 협박을 위한 모든 서비스를 제공하는 그룹화된 네트워크 서비스 제공업체가 등장했습니다. 서비스 제공업체들은 경쟁력을 강화하기 위해 다양한 백엔드 관리 시스템을 개방하여 블랙 마켓 조직에 '원스톱 피싱 공격 서비스'를 제공합니다.
2. 정확한 데이터 수집
피싱 SMS의 전환율을 높이고 운영 비용을 줄이기 위해 협박 조직은 '데이터 밀매업자'의 데이터를 구매하여 피싱 SMS의 전환율을 높이고 운영 비용을 줄입니다. 데이터 공급업체'로부터 데이터를 구매합니다. 데이터 공급업체는 다양한 경로를 통해 다양한 산업 분야의 사용자 데이터를 확보할 수 있으며, 금융 업계의 데이터가 가장 많이 사용됩니다. 암시장, 다크 포럼 및 소셜 미디어 거래, 고품질의 직접 데이터를 통해 10,000으로 계산하면 단가는 일반적으로 수천 위안에 달할 수 있습니다. 협박 업계가 이름, 휴대폰 번호, 신분증, 은행 카드 및 기타 중요한 개인 정보와 같은 은행 사용자의 실제 정보를 확보하면 피싱 SMS의 파괴성이 질적으로 향상될 것입니다.
3. 가짜 기지국이 피싱 SMS를 전송:
감시 방지 기능과 이동성을 향상시키기 위해 가짜 기지국 장비는 고정식에서 이동식으로, 고출력에서 저전력으로, 대용량에서 소용량으로 지속적으로 업데이트되어 범죄자가 쉽게 휴대하고 모바일 공격 모드를 실현할 수 있습니다. 예를 들어, 사람들은 시간당 약 500달러를 지불하고 시내와 대도시를 오가며 기기를 가지고 다니거나 협업을 통해 공유할 수 있습니다.
현재 국내 주요 통신사 및 SMS 플랫폼의 풍 제어 메커니즘은 점점 더 엄격해지고 있으며, 이러한 피싱 사이트 전송이 차단될 확률이 높아지고 있습니다. 그 결과 일부 협박범들은 감사를 피하기 위해 국제 SMS 채널을 사용하여 메시지를 전송하기 시작했습니다. 이러한 국제 SMS 채널은 전문 업체에서 제공하며, 보통 개당 30~40센트에 5000개부터 시작합니다.
4. 면제
사용자가 속으면 블랙 마켓은 피싱 사이트의 백엔드에서 받은 데이터를 취합하고 각 은행의 온라인 빠른 결제 기능을 사용하여 잔액을 확인합니다. 그런 다음 직접 소비, 이체 또는 제3자 결제를 진행합니다. 소비되지 않은 잔액은 다른 가격으로 판매되며 (대부분은 여러 번 포장 된 1 달러의 가격으로 판매됩니다), 거대한 잔액은 때때로 "세탁 재료"와 협력 할 사람을 찾을 것입니다.
5. 세탁 재료 :
협박범은 다양한 방법으로 "재료"를 실현합니다. 일반적으로 그들은 빠른 결제 충전 유틸리티, 전화 요금, 게임 화폐 또는 타사 결제 전송 인터페이스 사용, 다른 허점의 은행 빠른 결제, "네 가지 큰 항목"을 현금으로 전환 한 다음 추적을 피하기 위해 공유에 비례하여 다양한 수단과 파트너를 통해 평균 일일 수입이 6 자리 이상입니다.
한편 피싱 SMS는 여전히 빠른 기술 반복과 전략 업데이트를 유지하고 있습니다.
모바일 커뮤니케이션, 짧은 동영상 플랫폼, 리치 미디어 및 기타 마케팅 시나리오를 사용하여 피싱 SMS는 점점 더 풍부한 콘텐츠를 전달합니다. 이러한 메시지는 사용자가 사기성 앱을 다운로드하거나 비밀번호 도용 또는 사기성 모바일 사이트 링크를 열도록 유인하는 데 사용됩니다.
문자와 짧은 링크를 더욱 기만적으로 사용하여 은행 사용자로부터 실제 사기 목적을 숨깁니다. 협박은 합법적인 URL + 문자 형식 + 방어력이 높은 도메인을 사용하여 가짜 도메인이 모바일 장치의 작은 주소 표시줄에 합법적인 부분만 표시되도록 하고, 피싱 문자 메시지는 뉴스의 긴급성과 거부하기 어렵다는 유혹이 강조되면서 더 많이 전환되며, 피싱 공격이 빈번해지면서 주요 은행의 온라인 가입자를 잃는 데 기여하고 있습니다. 시만텍의 조사에 따르면 은행 사용자의 약 1/3이 피싱 공격에 대한 두려움 때문에 온라인 뱅킹 사용을 중단할 수밖에 없었다고 답했습니다.
피싱 SMS 공격이 점점 더 정교해짐에 따라 사고 발생률이 계속 높아져 은행과 사용자에게 막대한 손실을 초래하고 사용자의 재산 안전에 심각한 영향을 미치며 점차 은행에 대한 신뢰를 잃고 있습니다. 대화형 보안 분야의 서비스 제공업체인 지단은 기업과 사용자 간 상호 작용의 관점에서 피싱 SMS 공격을 살펴볼 것입니다.
5년 전 케이콘 해커 컨퍼런스에서 네트워크 보안 전문가인 시커는 "의사 기지국 고급 기술 사용 - SMS 인증 코드를 완전히 해독"에서 SMS는 다음과 같이 명확하게 언급했습니다. 보안 인증 메커니즘인 캡차는 쉽게 뚫릴 수 있으므로 가능한 한 빨리 폐기해야 합니다.
GSM 가짜 기지국 구성: 하드웨어: 일반 PC, USRP b2x 0 + 안테나(또는 Motorola c 118/c 139 + CP 2102). 소프트웨어: 우분투 리눅스, 오픈BSC. 오픈BSC: osmo.com에서 고성능 오픈 인터페이스 오픈 소스 GSM/GPRS 기지국 시스템을 시작하고 유지 관리했습니다.
SMS 인증 코드의 결함 및 보안 위험을 고려할 때 구체적인 성능은 다음과 같습니다.
사용자의 신원을 확인하기 위해 SMS 인증 코드에만 의존하는 경우 특정 보안 위험이 있습니다. 플랫폼의 경우 SMS 인증 외에도 고액 결제, 사용자 거래 비밀번호 수정 등과 관련된 비즈니스 시나리오에서 새로운 인증 방법을 추가해야 할 필요성이 절실히 있습니다.
대안: 무감각화된 휴대폰 번호 + SMS 없는 로그인
피싱 SMS 공격의 전체 사슬을 자세히 살펴보면, SMS는 은행의 방어망을 뚫는 데 있어 중요한 돌파구입니다. 은행과 금융 기관의 주요 비즈니스 노드에서 '무의미한 로컬 인증'이 기존 SMS 인증 코드를 대체하고 있습니다.
신원 확인을 위한 업그레이드된 프로그램으로서 중국어 간체자는 국내 3대 통신사와 협력하여 '무의미한 로컬 인증'을 출시했습니다. 사용자의 SIM 카드에 있는 휴대폰 번호가 통신사의 게이트웨이에서 직접 확인되며, 전체 프로세스가 암호화되어 SMS 인증 코드를 대체합니다. 따라서 범법자는 SMS 스니핑의 위험을 해결하기 위해 루트에서 SMS를 스니핑 할 수 없습니다. 또한 사용자 운영 프로세스를 크게 간소화하고 사용자 경험을 원활하게 하며 전환율을 효과적으로 개선하고 은행과 금융 기관이 인증 프로세스를 최적화하고 활동을 혁신, 유지 및 홍보하는 데 도움이 됩니다.
은행 사용자의 경우 개인정보 보호 및 보안에 대한 인식을 높이면 보안 위험의 절반 이상을 방지할 수 있습니다.2019 데이터 유출 비용 보고서에 따르면 데이터 유출의 49%가 인적 오류와 시스템 장애로 인해 발생하며 피싱 공격의 피해자가 될 수 있다고 합니다.
다행히도 SMS 피싱 공격은 비교적 쉽게 방어할 수 있습니다. 아무것도 하지 않는다면 대개는 스스로를 안전하게 지킬 수 있습니다. 따라서 피싱으로 의심되는 SMS를 발견하면 다음 세 가지를 생각해 보시기 바랍니다.
물론, SMS 스니핑을 발견하면 신속하게 대응해야 합니다.
은행 사용자로서 모바일 보안 사고에 대한 관심과 민감성을 높이고, 개인 관련 사고에 대한 긴급 대응을 수행하며, 사후 피해 차단을 잘 수행해야 합니다. 위와 같은 경우 경각심을 갖고 필요 시 휴대폰을 끄고 비행 모드로 전환하는 등 대응 조치를 취하세요.
모바일 사이버 보안은 향후 몇 년 동안에도 여전히 취약할 것으로 예상됩니다. 개인 정보 침해와 모바일 공격의 확산과 융합은 사이버 공격의 확산을 더욱 심화시킬 것입니다. 대립은 계속될 것입니다. 기업이나 소비자 모두 지속적으로 보안 인식을 강화하고, 스스로의 위험 저항력을 높이며, 잠재적 위험을 적시에 제거해야만 위험으로부터 벗어날 수 있다는 것은 변하지 않는 진리입니다.