온라인 뱅킹의 보급률이 증가함에 따라 금융 계좌에 무단으로 액세스하려는 사이버 범죄자의 수도 함께 증가하고 있습니다. 이러한 범죄자들은 이러한 목표를 달성하기 위해 불법적인 목적으로 휴대폰 번호를 악용하는 등 다양한 전술과 전략을 기꺼이 사용한다는 점에 주목할 필요가 있습니다.
금융 계정이 손상될 수 있는 메커니즘과 보안 유지를 위한 권장 사항을 살펴봅니다.
모바일 뱅킹 트로이목마
모바일 기기의 확산으로 스마트폰을 사용하여 원격으로 금융 업무를 감독할 수 있게 되었습니다. 일반적으로 은행은 사용자가 자신의 계좌에 액세스하고 안전하게 로그인할 수 있는 공식 애플리케이션을 제공합니다. 그러나 이러한 접근 용이성으로 인해 모바일 플랫폼은 사이버 공격에 취약해졌습니다.
안타깝게도 은행 계좌가 해킹당할 수 있습니다.
가짜 뱅킹 앱으로 사용자 속이기
의심하지 않는 개인에게 사이버 공격을 가하는 데 편리한 수단으로 사용되는 사기성 뱅킹 앱의 보급이 증가하고 있다는 점에 주목하게 되었습니다. 이러한 악의적인 공격자들은 종종 ‘스푸핑’이라는 기술을 사용하여 합법적인 뱅킹 애플리케이션의 정확한 복제본을 만든 후 승인되지 않은 채널을 통해 배포합니다. 이러한 기만적인 수법을 통해 민감한 금융 정보 및 개인 데이터에 액세스하여 피해자 계정의 보안을 손상시킬 수 있습니다.
애플리케이션 설치 시 사용자는 로그인 자격 증명을 제공해야 하며, 이후 이 자격 증명이 공격자에게 전송됩니다.
실제 뱅킹 앱을 가짜 앱으로 교체
가장 널리 퍼져 있고 교활한 형태의 트로이 목마 중 하나는 모바일 뱅킹 종류입니다. 다른 수많은 종류의 트로이 목마가 존재하지만, 이 특정 유형의 트로이 목마는 금융 보안에 심각한 위협이 될 수 있으므로 이에 대해 숙지하는 것이 중요합니다.
은행 계좌를 손상시키도록 설계된 악성 소프트웨어는 금융 기관의 애플리케이션으로 가장하지 않고 트로이 목마에 감염된 의심스럽지 않은 프로그램의 형태를 취하는 경우가 많습니다. 트로이 목마가 설치되면 장치에 있을 수 있는 뱅킹 애플리케이션이 있는지 검색합니다.
앞서 언급한 바이러스 변종은 은행 계좌를 노리는 사이버 공격의 주요 수단입니다. 사용자가 뱅킹 애플리케이션을 시작한 것을 확인하면 이 바이러스는 즉시 새로 열린 앱과 매우 유사한 가짜 창을 생성합니다.
이 프로세스가 원활하게 실행되면 사용자는 대체 사실을 인지하지 못한 채 가짜 로그인 페이지에 개인 정보를 입력하도록 유도합니다. 그 후 이 데이터는 악성 소프트웨어의 가해자에게 전송됩니다.
뱅킹 트로이 목마를 이용하려면 사용자의 계정에 액세스하기 위해 SMS 인증 코드가 필요합니다. 이러한 코드를 얻기 위해 악성 코드는 설치 프로세스 중에 SMS 읽기 권한을 요청할 수 있습니다.
모바일 뱅킹 트로이 목마로부터 자신을 보호하는 방법
애플리케이션 마켓을 통해 제공되는 애플리케이션을 살펴볼 때 프로그램이 다운로드된 총 횟수에 주의를 기울이는 것이 좋습니다. 다운로드 횟수가 상대적으로 적고 소프트웨어에 대한 평가가 거의 없는 경우 악성 코드가 포함되어 있는지 여부를 판단하는 것은 시기상조일 수 있습니다.
잘 알려진 은행의 공식 애플리케이션으로 추정되는 것이 다운로드 수가 미미하다면 모조품일 수 있으므로 매우 의심해야 합니다. 이러한 유명 은행의 정품 애플리케이션은 엄청난 인기로 인해 다운로드 수가 많을 것으로 예상하는 것이 합리적입니다.
모바일 애플리케이션에 권한을 부여할 때는 반드시 주의를 기울여야 합니다. 애플리케이션이 사용 목적에 대한 명확한 설명 없이 권한을 요청하는 경우 해당 소프트웨어의 설치를 승인하지 않는 것이 현명합니다. 또한 Android 접근성 서비스와 같이 무해해 보이는 서비스도 악의적인 목적으로 활용될 수 있습니다.
승인되지 않은 출처에서 뱅킹 애플리케이션을 다운로드하면 악성 소프트웨어가 포함될 위험이 높으므로 다운로드하지 않는 것이 좋습니다. 공식 애플리케이션 마켓이 완벽한 안전을 보장하지는 않지만, 월드 와이드 웹의 확인되지 않은 웹사이트에 비해 상대적으로 안전합니다.
피싱
사이버 범죄자들의 악의적인 활동이 강화되었으며, 특히 교묘한 메커니즘을 통해 의심하지 않는 개인을 전복시키는 데 중점을 두고 있습니다. 이와 관련하여 이러한 악성 콘텐츠가 사용하는 특히 악의적인 전략 중 하나는 변호사의 전자 메일 계정을 손상시켜 신뢰할 수 있는 출처에서 발신한 것처럼 보이는 사기 메시지를 유포하는 데 사용하는 것입니다.
이 해킹이 치명적인 이유는 사기를 발견하기 어렵다는 점입니다. 이메일 주소는 합법적인 것이며 해커는 심지어 실명으로 대화할 수도 있습니다. 가디언 에서 보도한 것처럼 한 불행한 주택 구매자가 이전에 합법적인 이메일 주소로 답장을 보냈음에도 불구하고 67,000파운드를 잃은 것이 바로 이런 경우입니다.
피싱으로부터 자신을 보호하는 방법
의심스러운 이메일을 처리할 때는 주의를 기울이는 것이 좋습니다. 발신자의 이메일 주소가 진짜처럼 보이지만 진위 여부가 의심스러운 경우 전화나 직접 대화 등 다른 방법을 통해 메시지를 확인하는 것이 현명할 수 있습니다. 그러나 해커가 이미 계정에 액세스했을 가능성이 있으므로 이 방법은 신중하게 수행해야 합니다.
피싱은 해커가 소셜 미디어 플랫폼을 통해 개인의 개인 정보를 얻기 위해 사용하는 일반적인 수법입니다. 따라서 피싱 공격으로부터 자신을 보호하기 위해 취할 수 있는 조치를 숙지하는 것이 중요합니다.
키로거
피싱 공격은 금융 계정에 무단으로 액세스하려는 해커가 다양한 수단을 통해 수행하는 경우가 많습니다. 이러한 공격에는 합법적인 기관으로 위장하여 로그인 자격 증명이나 신용카드 번호와 같은 민감한 정보를 유출하도록 개인을 속이는 것이 포함됩니다. 초보 해커도 이러한 수법에 사용되는 일반적인 전술을 이해하고 있으며, 여기에는 평판이 좋은 기관을 모방하도록 설계된 스푸핑된 이메일 주소와 웹사이트를 사용하는 것이 포함됩니다. 이러한 피싱 기법을 숙지하고 개인 데이터를 보호하기 위한 적절한 조치를 취함으로써 이러한 시도에 대한 경계를 늦추지 않는 것이 중요합니다. 또 다른 널리 퍼진 접근 방식인 키로거 바이러스는 손상된 장치에서 수행되는 모든 키 입력을 기록하고 이 정보를 공격자에게 전송하는 악성 소프트웨어의 사용과 관련이 있습니다.
언뜻 보기에는 별것 아닌 것처럼 보일 수 있지만, 로그인 자격 증명과 함께 은행 웹사이트 URL을 입력하는 시나리오를 생각해 보세요. 그러면 사이버 범죄자는 계정에 침입하는 데 필요한 모든 세부 정보를 확보하게 됩니다.
키로거로부터 자신을 보호하는 방법
뛰어난 바이러스 백신 프로그램을 설치했는지 확인하고 시스템을 정기적으로 검사하도록 구성하세요. 효과적인 바이러스 백신 소프트웨어는 잠재적인 키로거가 해를 끼치기 전에 이를 탐지하고 제거해야 합니다.
금융 기관에서 사용할 수 있는 경우 2단계 인증을 활성화하면 공격자가 로그인 자격 증명에 액세스하더라도 성공적인 진입에 필요한 인증 코드를 얻을 수 없으므로 키로거의 효과를 크게 줄일 수 있으므로 적극 권장됩니다.
중간자 공격
악의적인 공격자가 개인과 은행 웹사이트 간의 통신을 가로채는 것을 중간자(MitM) 공격이라고 합니다.이러한 유형의 사이버 공격은 두 당사자 간에 전송되는 데이터를 무단으로 가로채는 것으로, 그 중 한 당사자가 의도된 수신자입니다
일반적으로 중간자(MitM) 공격은 보안되지 않은 서버에서 통신을 가로채고 전송되는 정보를 검사하는 것을 수반합니다. 로그인 자격 증명과 같은 민감한 정보가 이 채널을 통해 전송되는 경우, 악의적인 공격자는 네트워크의 취약점을 악용하여 이러한 세부 정보를 가로챌 수 있습니다.
드물게 사이버 범죄자는 도메인 이름 시스템(DNS) 캐시 포이즈닝을 사용하여 개인이 URL을 입력할 때 방문하는 웹사이트를 조작할 수 있습니다. 이러한 경우 DNS 캐시가 손상되면 정품 웹사이트가 공격자가 제어하는 복제 사이트로 대체됩니다. 위조 사이트는 진품 사이트와 매우 유사하게 설계되어 의심하지 않는 사용자는 자신도 모르게 로그인 자격 증명을 위조 사이트에 제공할 수 있습니다.
MitM 공격으로부터 자신을 방어하는 방법
보안되지 않은 네트워크나 공용 네트워크를 통해 기밀 작업을 수행하는 것은 자제하는 것이 좋습니다. 더욱 주의를 기울이려면 집의 개인 Wi-Fi와 같이 보다 보호된 연결을 활용하세요. 또한 민감한 정보가 필요한 웹사이트에 로그인하기 전에 주소 표시줄에 URL에 ‘HTTPS’가 표시되는지 확인하세요. 이 표시가 없으면 해당 웹사이트가 위조된 것이며 개인 정보에 잠재적인 위험이 있음을 나타낼 수 있습니다
공용 Wi-Fi 네트워크에서 기밀 작업을 수행하려는 개인은 자신의 개인 정보에 대한 통제권을 행사하는 것이 필수적입니다. 가상 사설망(VPN)은 네트워크를 통해 전송되기 전에 사용자 컴퓨터에서 전송되는 모든 데이터를 인코딩하기 때문에 이와 관련하여 VPN(가상 사설망)을 사용하는 것이 좋습니다. 이러한 인코딩은 개인의 연결을 모니터링하려는 제3자가 정보를 해독하거나 액세스할 수 없도록 하여 악의적인 목적으로 정보를 사용할 수 없도록 합니다.
가상 사설망(VPN)을 선택하는 것이 어려울 수 있으므로 무료 VPN이 기밀과 개인 정보를 보호하는 데 얼마나 효과적인지 확인하는 것이 필수적입니다.
SIM 스와핑
SMS 인증 코드의 사용은 무단 액세스를 방지하는 데 효과적임에도 불구하고 악의적인 공격자의 저항에 부딪히는 경우가 많습니다. 다행히도 대상 기기를 물리적으로 소유하지 않고도 이러한 보안 조치를 우회할 수 있는 방법이 존재합니다.
심 스와핑 사기는 네트워크 서비스 제공업체에 전화로 피해자를 사칭하여 자신이 휴대폰 번호의 실제 소유자라고 속이고 해당 번호를 다른 심 카드로 이전하도록 요청하는 수법입니다. 이러한 유형의 수법은 모바일 장치를 악용하여 은행 계좌를 탈취하는 가장 일반적인 방법 중 하나입니다.
통신 서비스 제공업체는 가입자의 전화번호를 원래 SIM 카드에서 제거한 후 사기성 SIM 카드로 전송하여 가입자의 전화번호를 사이버 범죄자의 전화번호로 성공적으로 대체할 수 있습니다. 이 과정은 사회보장번호(SSN)를 사용하여 수행할 수 있습니다.
악의적인 개인이 SIM 카드를 사용하여 전화번호를 획득한 경우 해당 금융 기관에서 구현할 수 있는 문자 메시지 기반 인증 프로토콜을 우회하는 것이 비교적 간단해집니다. 이러한 개인이 특정 은행 계좌에 액세스하려고 시도하면 은행은 해당 계좌의 정당한 소유자가 아닌 해당 전화번호와 연결된 모바일 장치로 SMS를 통해 인증 코드를 보냅니다. 따라서 권한이 없는 사람이 계좌에 접근하여 아무런 장애물이나 제한 없이 자금을 이체할 수 있습니다.
SIM 스와핑으로부터 자신을 보호하는 방법
모바일 네트워크는 종종 인증 프로세스를 사용하여 SIM 스와핑을 시작하려는 개인의 신원을 확인합니다. 따라서 사기범들은 일반적으로 이러한 인증 절차를 성공적으로 통과하기 위해 피해자로부터 개인 데이터를 수집합니다.
그럼에도 불구하고 일부 네트워크 제공업체는 SIM 전송에 대해 을 느슨하게 확인하여 해커가 이 수법을 쉽게 수행할 수 있도록 합니다.
신원 도용을 방지하기 위해 개인 정보를 기밀로 유지하는 것이 중요합니다. 또한 모바일 서비스 제공업체가 SIM 스와핑 사기에 대한 적절한 조치를 취하고 있는지 확인하는 것이 좋습니다.
정보를 안전하게 보관하고 네트워크 서비스 제공업체가 적절한 주의를 기울인다면 해커의 SIM 스와핑 시도로 인해 인증 절차가 실패할 수 있습니다.
온라인에서 안전하게 금융 정보 지키기
인터넷 뱅킹은 어디서나 계좌에 액세스할 수 있는 편리함을 제공하지만, 사이버 범죄자들에게는 매력적인 표적이 되기도 합니다. 그러나 적절한 보안 조치를 취하면 개인이 이러한 공격의 희생양이 될 위험을 최소화할 수 있습니다. 한 가지 효과적인 방법은 개인 정보를 보호하여 침해 시 해커가 액세스할 수 있는 중요한 데이터의 양을 제한하는 것입니다.
사이버 범죄자들이 금융 기관에 침투하기 위해 사용하는 교활한 수법을 이해하면 은행 보안에 대한 보호 수준을 높이는 것이 필수적입니다. 정기적으로 비밀번호를 업데이트하고 매월 은행 명세서를 검토하는 등 다양한 조치를 취할 수 있습니다.