사기꾼 교육하는 온라인 강좌 등장... 강의계획서부터 개인별 지도까지 철저
6개월 동안 20개 강의 들으면 매달 300만 원 이상 벌 수 있다고 홍보해
[보안뉴스 오다인 기자] 결제 카드 사기에 의한 피해액이 2018년 말 27조 원(240억 달러)에 이를 것으로 추산되는 가운데, 사이버 범죄자들이 온라인 강좌를 통해 사기 수법을 연마하고 있는 것으로 나타났다. 이들은 사기 피해자의 신용카드 정보를 서로 공유하거나 정보를 빼내는 수단 등에 대해 맞춤형 교육까지 제공하는 중이다.
[이미지=iclickart]
즉, 결제 카드 사기꾼들은 이제 전문가(?)로서 온라인 학습을 통해 스스로의 기술을 연마하고 있다. 온라인 위험을 전문적으로 감시하는 업체 디지털 셰도우(Digital Shadows)는 러시아의 어느 카딩 포럼(Carding forum: 훔친 신용카드 정보를 공유하는 웹사이트)이 온라인 강좌를 운영하고 있다는 사실을 발견했다. 이 강좌를 수강하면 강사의 지도 아래 사기 치는 방법을 배울 수 있는데, 강의계획서, 웨비나, 읽을거리 등이 함께 제공되는 것으로 드러났다. 웨비나(Webinar)는 웹(Web)과 세미나(Seminar)의 합성어로 온라인상에서 개최되는 회의를 가리킨다.
디지털 셰도우의 연구 분석가 마이클 매리엇(Michael Marriott)은 “얼마나 세심하게 가르치는지 아주 놀랍다”고 말했다. 그는 “격주로 웨비나가 개최되고, 강의 자료가 있으며, 학생들이 쓸 수 있는 소프트웨어 링크에다 질의응답 시간까지 마련돼 있다”고 밝혔다.
카드 사기 방법을 알려주는 건 다크웹상에서 흔히 일어나는 일이지만 매리엇은 이번에 발견한 사이트는 특별히 전문적인 곳이라고 강조했다. 이 사이트는 등록금으로 약 86만 원(45,000루블)을 받고 있으며 교재비로 23만 원 가량을 추가로 받는다. 등록금은 비트코인이나 웹머니 같은 전자 화폐로도 지불할 수 있다.
“이렇게 적지 않은 비용을 책정하면서 강사와 학생이 상호 작용하는 구조를 만든 데다 그 모든 절차와 재료들을 갖추기까지 했다는 점이 저희의 눈길을 사로잡았습니다.” 매리엇은 왜 이번 발견이 특히 의미가 있는지 설명했다. “지금 당장 대단한 기술이 있는 건 아니더라도 온라인 학습을 통해 교육에 투자할 수 있는 범죄자들에겐 좋은 기회가 될 것입니다.”
온라인 학습은 총 6개월 과정으로 구성되며 5명의 강사가 진행하는 20개 강좌로 구성돼있다. 이 사이트는 온라인 과정을 수료하면 일주일에 10시간에서 12시간만 일하고 한 달에 최소 338만 원(3,000달러)씩 벌 수 있다고 주장한다. 게다가 학생들이 최신 기술을 따라잡을 수 있도록 재교육도 제공한다.
공격자들은 소비자의 구매 습관이 변화함에 따라 공격 전략도 변화시키는 중이다. IC카드 국제 표준인 EMV(Europay, Mastercard, Visa)가 적용되면서 물리적인 카드로는 사기를 저지르기가 어려워졌다. 해커들이 결제 카드를 복제할 수 있었던 시절은 이미 끝난 것이다. 이제 해커들은 칩앤핀(chip-and-pin: 신용카드에 내장된 전자 칩을 통해 서명 대신 비밀번호를 입력 받아 신분을 확인하는 시스템)을 우회하기 위해 재빠르게 움직이는 중이다.
상당수 해커는 무카드 거래(CNP: Card Not Present)로 눈을 돌리고 있다. CNP 사기는 온라인이나 전화상으로 카드 세부정보를 보내는 사람들을 겨냥한다. 최근 어느 보고서는 온라인 지출이 2021년 6,000조 원(6,000,000,000,000달러)에 달할 것이라고 전망했다. 이는 현재의 2배 수준으로, 사기꾼들에겐 돈을 벌 기회나 가능성이 더 높아지는 셈이다.
사이버 범죄자가 CNP 사기를 저지르려면 신용카드 정보가 있어야 한다. 이런 정보는 온라인 데이터베이스 또는 PoS(Point-of-Sale)를 공격해 빼돌린 정보를 전문적으로 판매하는 온라인 상점을 이용하면 구할 수 있다. 사람들은 정보를 훔치는 방법을 집중적으로 연구하고, 훔친 정보를 카드 사기꾼 사이트에 널리 배포한다고 매리엇은 설명했다.
도난된 카드라도 전부 같은 건 아니다. “각 신용카드는 그것으로 어떤 정보를 얻을 수 있는지에 따라 가치가 다르다”고 매리엇은 설명을 잇는다.
가장 저렴한 카드는 결제를 마치기 위해 추가적인 인증을 요구하는 카드다. 카드 주인의 비밀번호를 알아내는 건 넘어야 할 산 중에서도 가장 큰 산이기 때문이다. 공격자들은 사회공학적 수법으로 이를 뛰어넘는 중이며, 매리엇은 이런 수법의 인기가 나날이 높아지고 있다고 말한다. 점점 더 많은 공격자가 1) 공격 대상의 주변 환경을 숙지하고 2) 공격 대상과 친밀한 관계를 구축한 뒤 3) 사기를 저지르고 있다.
어느 사기 범죄는 자동화된 서비스를 통해 개인들에게 전화를 건 뒤, 은행을 가장해 계좌에 보안을 강화해주겠다고 말한다. 그러면서 비밀번호를 입력하라고 요구하는데, 이를 믿은 사람들은 전화기에 비밀번호를 입력하고 이 정보는 사용자 대시보드에 저장된다.
신용카드 사기를 전문적으로 훈련하거나 연마하는 범죄자가 증가하고 있고, 이에 얽힌 사람들의 네트워크가 매우 복잡해져만 가는 상황에서 앞으로 다가올 수년 간 손실은 불가피할 것으로 보인다. 이제 시장은 공격자들이 틈새시장을 찾는 산업이 됐다. 어떤 상품이나 서비스를 사기 위해 카드 정보를 수집하든지, 아니면 훔친 정보를 사용하든지 간에 말이다.
결제 카드 회사들은 고객들이 어떤 위협에 직면하고 있는지 이해해야 하며, 은행 식별 번호(BIN)나 발행인 식별 번호(IIN) 등 훔친 정보를 판매하는 웹사이트들을 확인해볼 필요가 있다. 고객들은 온라인에서 뭔가를 구입할 때 해당 상점에 대해 신중히 살펴봐야 한다. 자신의 비밀번호를 잘 보호해야 하며 여행 관련 예약을 할 때도 주의할 필요가 있다. 어떤 사기꾼들은 여행사 직원을 가장해 예약을 대행해준다고 말한 뒤, 예약이 완료되면 사기꾼 본인의 이름으로 예약자를 변경하기도 한다.
“만약 뭔가 냄새가 난다 싶으면 일단 조심하고 볼 일입니다.” 매리엇은 너무 좋은 제안을 받게 되면 먼저 의심해봐야 한다고 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]
6개월 동안 20개 강의 들으면 매달 300만 원 이상 벌 수 있다고 홍보해
[보안뉴스 오다인 기자] 결제 카드 사기에 의한 피해액이 2018년 말 27조 원(240억 달러)에 이를 것으로 추산되는 가운데, 사이버 범죄자들이 온라인 강좌를 통해 사기 수법을 연마하고 있는 것으로 나타났다. 이들은 사기 피해자의 신용카드 정보를 서로 공유하거나 정보를 빼내는 수단 등에 대해 맞춤형 교육까지 제공하는 중이다.
[이미지=iclickart]
즉, 결제 카드 사기꾼들은 이제 전문가(?)로서 온라인 학습을 통해 스스로의 기술을 연마하고 있다. 온라인 위험을 전문적으로 감시하는 업체 디지털 셰도우(Digital Shadows)는 러시아의 어느 카딩 포럼(Carding forum: 훔친 신용카드 정보를 공유하는 웹사이트)이 온라인 강좌를 운영하고 있다는 사실을 발견했다. 이 강좌를 수강하면 강사의 지도 아래 사기 치는 방법을 배울 수 있는데, 강의계획서, 웨비나, 읽을거리 등이 함께 제공되는 것으로 드러났다. 웨비나(Webinar)는 웹(Web)과 세미나(Seminar)의 합성어로 온라인상에서 개최되는 회의를 가리킨다.
디지털 셰도우의 연구 분석가 마이클 매리엇(Michael Marriott)은 “얼마나 세심하게 가르치는지 아주 놀랍다”고 말했다. 그는 “격주로 웨비나가 개최되고, 강의 자료가 있으며, 학생들이 쓸 수 있는 소프트웨어 링크에다 질의응답 시간까지 마련돼 있다”고 밝혔다.
카드 사기 방법을 알려주는 건 다크웹상에서 흔히 일어나는 일이지만 매리엇은 이번에 발견한 사이트는 특별히 전문적인 곳이라고 강조했다. 이 사이트는 등록금으로 약 86만 원(45,000루블)을 받고 있으며 교재비로 23만 원 가량을 추가로 받는다. 등록금은 비트코인이나 웹머니 같은 전자 화폐로도 지불할 수 있다.
“이렇게 적지 않은 비용을 책정하면서 강사와 학생이 상호 작용하는 구조를 만든 데다 그 모든 절차와 재료들을 갖추기까지 했다는 점이 저희의 눈길을 사로잡았습니다.” 매리엇은 왜 이번 발견이 특히 의미가 있는지 설명했다. “지금 당장 대단한 기술이 있는 건 아니더라도 온라인 학습을 통해 교육에 투자할 수 있는 범죄자들에겐 좋은 기회가 될 것입니다.”
온라인 학습은 총 6개월 과정으로 구성되며 5명의 강사가 진행하는 20개 강좌로 구성돼있다. 이 사이트는 온라인 과정을 수료하면 일주일에 10시간에서 12시간만 일하고 한 달에 최소 338만 원(3,000달러)씩 벌 수 있다고 주장한다. 게다가 학생들이 최신 기술을 따라잡을 수 있도록 재교육도 제공한다.
공격자들은 소비자의 구매 습관이 변화함에 따라 공격 전략도 변화시키는 중이다. IC카드 국제 표준인 EMV(Europay, Mastercard, Visa)가 적용되면서 물리적인 카드로는 사기를 저지르기가 어려워졌다. 해커들이 결제 카드를 복제할 수 있었던 시절은 이미 끝난 것이다. 이제 해커들은 칩앤핀(chip-and-pin: 신용카드에 내장된 전자 칩을 통해 서명 대신 비밀번호를 입력 받아 신분을 확인하는 시스템)을 우회하기 위해 재빠르게 움직이는 중이다.
상당수 해커는 무카드 거래(CNP: Card Not Present)로 눈을 돌리고 있다. CNP 사기는 온라인이나 전화상으로 카드 세부정보를 보내는 사람들을 겨냥한다. 최근 어느 보고서는 온라인 지출이 2021년 6,000조 원(6,000,000,000,000달러)에 달할 것이라고 전망했다. 이는 현재의 2배 수준으로, 사기꾼들에겐 돈을 벌 기회나 가능성이 더 높아지는 셈이다.
사이버 범죄자가 CNP 사기를 저지르려면 신용카드 정보가 있어야 한다. 이런 정보는 온라인 데이터베이스 또는 PoS(Point-of-Sale)를 공격해 빼돌린 정보를 전문적으로 판매하는 온라인 상점을 이용하면 구할 수 있다. 사람들은 정보를 훔치는 방법을 집중적으로 연구하고, 훔친 정보를 카드 사기꾼 사이트에 널리 배포한다고 매리엇은 설명했다.
도난된 카드라도 전부 같은 건 아니다. “각 신용카드는 그것으로 어떤 정보를 얻을 수 있는지에 따라 가치가 다르다”고 매리엇은 설명을 잇는다.
가장 저렴한 카드는 결제를 마치기 위해 추가적인 인증을 요구하는 카드다. 카드 주인의 비밀번호를 알아내는 건 넘어야 할 산 중에서도 가장 큰 산이기 때문이다. 공격자들은 사회공학적 수법으로 이를 뛰어넘는 중이며, 매리엇은 이런 수법의 인기가 나날이 높아지고 있다고 말한다. 점점 더 많은 공격자가 1) 공격 대상의 주변 환경을 숙지하고 2) 공격 대상과 친밀한 관계를 구축한 뒤 3) 사기를 저지르고 있다.
어느 사기 범죄는 자동화된 서비스를 통해 개인들에게 전화를 건 뒤, 은행을 가장해 계좌에 보안을 강화해주겠다고 말한다. 그러면서 비밀번호를 입력하라고 요구하는데, 이를 믿은 사람들은 전화기에 비밀번호를 입력하고 이 정보는 사용자 대시보드에 저장된다.
신용카드 사기를 전문적으로 훈련하거나 연마하는 범죄자가 증가하고 있고, 이에 얽힌 사람들의 네트워크가 매우 복잡해져만 가는 상황에서 앞으로 다가올 수년 간 손실은 불가피할 것으로 보인다. 이제 시장은 공격자들이 틈새시장을 찾는 산업이 됐다. 어떤 상품이나 서비스를 사기 위해 카드 정보를 수집하든지, 아니면 훔친 정보를 사용하든지 간에 말이다.
결제 카드 회사들은 고객들이 어떤 위협에 직면하고 있는지 이해해야 하며, 은행 식별 번호(BIN)나 발행인 식별 번호(IIN) 등 훔친 정보를 판매하는 웹사이트들을 확인해볼 필요가 있다. 고객들은 온라인에서 뭔가를 구입할 때 해당 상점에 대해 신중히 살펴봐야 한다. 자신의 비밀번호를 잘 보호해야 하며 여행 관련 예약을 할 때도 주의할 필요가 있다. 어떤 사기꾼들은 여행사 직원을 가장해 예약을 대행해준다고 말한 뒤, 예약이 완료되면 사기꾼 본인의 이름으로 예약자를 변경하기도 한다.
“만약 뭔가 냄새가 난다 싶으면 일단 조심하고 볼 일입니다.” 매리엇은 너무 좋은 제안을 받게 되면 먼저 의심해봐야 한다고 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
