티스토리 뷰

안녕하세요.


본 포스트는 JUMIO White Paper를 번역한 내용으로 "사기꾼들이 정보를 수집하는 5가지 방법"이라는 주제입니다.


서론


2000년 전, 공자가 쓴 손자병법에 "적을 알고 나를 알면 백번의 전투에도 두려워할 필요가 없다." 라고 한다. 본 백서에서는 사기꾼들이 어떻게 정보를 탈취하는지 앎으로써, 사기꾼들과의 전투에서 모두 이길 수 있게 하기 위함이다.


본론


사기꾼들이 정보를 수집하는 5가지 방법은 아래와 같다.


1. 카페에서 무선을 이용한 정보 수집 (신선하게 잘 구워진 커피의 맛과 향을 즐긴다)


길을 걷던 당신은 주변에 자신이 좋아 하는 커피집에 들러 커피를 주문한 뒤 자리에 앉아 이메일을 체크한다. 카페 무선 네트워크임을 확인하며...


최근 사기꾼들의 정보 수집 전략 중 하나는 무료 Wi-Fi를 제공하는 커피숍에 앉아 주변의 랩톱, 모바일등에서 방출되는 정보를 수집한다. 물론 신선하게 잘 구워진 커피의 맛과 향을 즐기며...


더 자세하게 어떤 프로세스로 공격자가 정보를 수집할 수 있을까?


A. 공격자는 커피숍 자리에 앉아 자신의 랩톱과 Wi-Fi 허브를 이용하여 커피숍과 동일한 이름의 무료 무선 네트워크를 설치한다.


B. 커피숍에 있던 손님은 공격자의 무료 Wi-Fi로 접속하게 되고, 공격자가 미리 설정해둔 악성코드가 설치되게 된다. 이 악성코드는 공격자가 해당 컴퓨터로 접속할 수 있게 한다. 이 때 손님은 자리를 앉고 있는 중이다...


C. 공격자는 손님의 온라인 계좌를 습득 하고 암호화된 데이터는 Cain & Abel등의 툴들을 이용하여 풀게 된다. 이 때 손님은 자신이 주문한 라떼를 각져오고 있는 중이다...


D. 손님이 커피숍을 떠난 뒤, 공격자는 다음 타겟을 찾아 자리를 이동한다. 이를 통해, 온라인 은행 계좌, SNS 등의 정보들이 노출되게 된다. 물론, 이 방법은 커피숍 뿐만 아니라 쇼핑몰, 바, 도서관, 공항 등에서도 적용 가능하다.



2. 공무원 위장을 이용한 정보 수집 (사기꾼들은 항상 두 번 노크한다)


당신의 문에 두 번 노크가 있고, 그 것이 자선 단체든 어떤 목적의 공무원이든 당신에게 정보를 준다고 하는 사람들을 조심하라.


여기서는 어떻게 조직화된 범죄 조직이 팀을 이루어 대량의 정보를 수집하는지 보인다. 이들은 공무원 또는 외판원인척 하며 접근한다.


A. 공격자는 주변 이웃 또는 여러 길에 걸쳐 대상을 선택하고, 하루 전에 우채통등을 통하여 전단지를 배포하여 자신의 조직이 합법적임을 알린다.


B. 공격자 패거리는 팀을 이루며 활동한다. 그 중 엄선된 이웃의 통계 정보를 이용하여 잘 차려입은 공격자는 대상의 집 앞에서 정보를 이용하여 접근한다. 그들은 이 방법이 4번 중 한 번은 성공함을 알앗고 이를 통해 이름, 주소, 생년월일 이메일 등의 정보를 수집한다.


다음은 조직이 이루어진 형태이다.


The Master : Master는 조직의 주인이며 수집된 정보를 이용하거나 Carder 포럼에 판다. 조직에서 Master는 공헌도에 따라 조직에서 소수만이 존재하며 실제 수집된 정보를 사용한다.


The Captains : 자신의 직원들을 설득하거나 브리핑 역할을 담당한다. Captain의 경우 상위 10%만이 Master로 부터 봉급을 받는다.


The Soldiers : 수집된 정보당 10달러 정도의 수입을 얻는다.


3. SNS을 이용한 정보 수집 (가상 친구, 실존 사기꾼)


최근에 SNS를 통해 소셜 사기가 많이 알려지면서 잘 모르는 사람의 경우 친구 추가를 하지 않거나 비공개를 하여 자신의 프로필을 못보게 하는 경우가 많아졌다. 여기서는 다른 통찰을 이용하여 사기꾼들이 SNS를 통해 어떻게 정보를 획득하는지 보인다.


A. 공격자의 베프인 브라이언이 소셜 네트워크에 접속했다.


B. 공격자는 브라이언의 접속 정보를 확인하고 친구들을 확인한다. 그리고 공개된 정보에 따라 대상을 선택하게 된다.


C. 공격자는 브라이언이라는 새로운 계정을 만든 뒤, 브라이언이 로그아웃 하기 까지 기다린 뒤, 새로 생성한 계정으로 접속하여 기존의 브라이언의 ID를 가장한다. 그리고 자신의 정보가 날아가 새로운 계정을 만들었다고 한다.


D. 가짜 브라이언은 이제 주변의 모든 포스트, 히스토리, 직업, 취미, 어디서 사는지, 돈을 어디에 쓰는지 등의 자세한 정보를 알 수 있게 된다. 


이것은 ID 탈취 Exploit 이다. 나는 공개된 정보를 통해 사람들이 어떤 브랜드를 좋아 하는지 어떤 것을 생각하는지 알 수 있었고, 이를 통해 이들을 낚시 할 수 있었다.


어떤 사내의 경우, 특정 바 또는 레스토랑을 주기적으로 보는것을 알게 되어, 그 사내에게 전화를 걸어 "내부 실수로 인해 돈을 더 지불하여 돌려드리겠습니다." 라고 한다. 물론 환불 프로세스를 통해 그 사내의 카드 정보를 알 수 있게 되었다.


- 수감된 ID 탈취 사기꾼


4. 가짜 광고를 이용한 정보 수집 (만약 그것이 정말로 좋아보인다면....)


가장 중요하게 기억해야 할 것은 사기는 단순히 신용 사기라는 것이다. 때때로, ID는 기술적으로 탈취 될 수 있다. 하지만 때때로, 간단한 눈속임을 이용하여 ID를 등록하게 하여 카드 사기에 사용될 수 있다.


A. 공격자는 전화부를 이용하여 대상에게 전화를 건다.


B. 공격자는 유명 브랜드 마켓을 가장하여 대상을 유혹한다.


C. 공격자는 대상에게 "놓칠 수 없는 기회"라고 한다. 공격자는 대상에게 믿을 수 없을 정도로 유혹적인 할인 등을  약속하고, 원래 금액의 할인된 금액은 카드로 환불이 된다고 한다. 이 때 공격자는 대상의 카드 번호화 기타 정보를 수집하게 된다. 


#아래 동영상은 위의 시나리오가 어떻게 실세계에 통하는지 보여줍니다.


 

that's sooooooooooooooou handy, isn't it? :D



5. 가짜 사기 포럼을 이용한 정보 수집 (마켓에 몇가지 살것들을 띄운다)


카드 사기꾼 커뮤니티에서는 사기꾼들이 자신이 수집핞 카드 정보를 교환하거나 판매한다. (아무리 FBI나 UK's National Crime Agency가 사이트들을 다운시킨다고 해도...)


이러한 카딩 사이트들은 지하 경제에서 활동하며 굉장히 복잡한 구조를 갖는다. 이들은 서로에게 카드 사기, 수집 등의 특별한 기술들을 공유하며 돕는다.


최근 사기꾼들은 ID 탈취를 통해 구입한 데이터를 어떻게 이용할 수 있을까 고민하고 있다. 이런 이유때문에 매우 높은 비율로 수집된 카드 정보가 정상적으로 동작하지 않는 경우들이 있다. 카더 사이트의 리뷰를 보면 구입한 카드 정보의 60% 정도가 동작하면 좋은 데이터라고 한다. "1 등급" 카드는 사용되지 않은 카드로 카드 기간에 따라 $200 까지 한다. "2 등급" 카드들은 중고를 통해 얻은 카드로써 각각 $100 하는데 대부분은 취소되었기 때문에 소수의 카드 데이터만 동작한다. 


이런 까닭에, 사기꾼들은 자신이 지불하여 얻은 카드 정보에 대해 더욱 관심을 갖게 되었다. 실제로 사기꾼들은 Issuer 또는 은행 식별자로 알려진 특정 6 숫자들을 보고 구매하기도 한다. 이 전략은 오래된 카드일수록 신규 카드보다 신뢰도가 높기 때문이다.


 

마치며


본 JUMIO 백서에 나와 있는 모든 내용을 옮기지 못하고 오역과 의역한 부분도 많아 원문을 보시는 것을 추천합니다. 또한 JUMIO 백서에는 어떻게 이러한 사기들에 대해 대항할 수 있는지에 대한 몇 갖기 방법들을 제안하고 있으니 한 번 확인해보시는 것도 좋을 것 같습니다.


저는 특히 관심이 있던 부분은 (1) Wi-Fi를 이용한 개인 정보 수집이였습니다. 이번에 Wi-Fi 문서를 작성하면서, 기회가 되면 위 정보 수집에 대한 원리와 모의 해킹 시나리오에 대해 포스팅을 해보도록 하겠습니다.


본 문서에 대한 내용은 첨부 파일을 확인하시고, 더 자세한 내용을 원하시는 분은 JUMIO 사이트를 확인해보시기 바랍니다.


출처: http://www.jumio.com/

The-Fraudsters-Playbook-Jumio-White-Paper.pdf


댓글