블로그

사이버 범죄자가 온라인 계정을 점유하는 방법

프랭크 키이-마누 썸네일
프랭크 카이 마누
2022년 10월 18일 게시

친구가 최근에 어린 시절 가족과 함께 했던 게임에 대한 이야기를 들려주었습니다. 그들은 차를 운전할 때 다른 차에 탄 사람들이 어디에서 왔는지 추측해 보려고 노력했습니다. 그들의 추측은 제한된 정보에 근거한 것이었습니다. 기껏해야 자동차 번호판이나 범퍼 스티커에 적힌 주 이름 정도였습니다.

반면에 오늘날 우리의 개인 정보는 디지털 자산을 통해 매우 쉽게 찾을 수 있으며, 악의적인 행위자들이 피싱이나 스미싱과 같은 사회 공학적 전술을 통해 개인 정보에 접근하기가 더 쉬워졌습니다.

사이버 범죄자의 심리학

대부분의 범죄와 마찬가지로 사이버범죄는 MOM, 즉 수단(Means), 기회(Opportunity), 동기(Motive)라는 개념에서 시작됩니다. 사이버 범죄자의 심리와 사이버 사기를 저지르도록 하는 요인을 이해하는 것이 중요합니다.

  • 수단: 범죄를 저지를 수 있는 능력, 도구, 수단은 풍부합니다. 이제는 그 어느 때보다도 범죄자들이 사기를 저지르기 위해 정교한 전문가가 될 필요가 없습니다. 무료로 사용할 수 있는 도구와 서비스가 넘쳐나기 때문입니다.
  • 기회: 잠재적인 타겟은 매우 많습니다. 돈부터 개인 건강 관리 기록까지 모든 것이 디지털화되면서 애플리케이션 경제가 급속히 발전함에 따라 사이버 범죄자들은 사기를 저지를 수 있는 충분한 기회와 표적을 가지게 되었습니다.
  • 동기: 대개는 그런 것은 아니지만, 동기는 금전적입니다.

당신이 공격을 받고 있다고 가정해 보세요

일반적으로, 당신이 제어하는 모든 소비자 대상 애플리케이션과 디지털 계정은 조만간 공격을 받을 것이라고 가정해 보세요. 공격자가 앱 로직을 악용해 사기를 저지르는 데 능숙해지면서, 가장 보호가 잘 된 계정에서도 이런 일이 발생합니다.

사이버 범죄자에게 승리하려면 팀워크가 필요합니다. 이 팀에는 개인 계정 소유자, 기관 애플리케이션 개발자, 사기 대응팀, 보안팀이 포함됩니다. 올바른 접근 방식에는 이러한 애플리케이션을 사용하는 개인과 이를 구축하는 회사의 집단적 노력이 필요하며, 보안 및 사기 방지 팀이 자동화된 애플리케이션 위협에 대한 방어를 수렴하여 상류의 봇 공격을 차단하고 하류의 사기를 방지하는 것부터 시작해야 합니다.

봇은 양날의 검입니다

자동화 자체는 좋은 것입니다. 봇은 반복적인 작업을 자동화하고, 기업이 고객과 소통하고 브랜드 선호도를 구축하는 데 도움을 줍니다. 예를 들어, 고객 서비스 챗봇과 상호작용하여 궁금한 사항에 대한 실시간 답변을 받았을 수 있습니다.

그러나 잘못된 사람의 손에 들어가면 봇과 자동화는 계정을 인수하고 사기를 저지르기 위해 신임장 정보를 수집하는 등 악의적인 공격을 수행하는 데 사용될 수 있는 강력한 도구가 됩니다.

일반적으로 자격 증명 채우기 공격은 이전에 도난당한 자격 증명을 활용하여 여러 도메인에서 테스트합니다. 이러한 공격은 사용자 이름과 비밀번호가 여러 애플리케이션에서 일반적으로 재사용된다는 사실을 이용합니다.

실제로 최근 보고서에 따르면 직원들이 평균적으로 비밀번호를 13번이나 재사용하는 것으로 나타났습니다. 게다가 소비자들에게 자신의 계정이 침해됐다는 알림을 받아도 실제로 비밀번호를 변경하는 사람은 약 3분의 1에 불과합니다.

사이버 범죄자들은 이런 약점을 이용해 다음을 포함한 다양한 유형의 사기를 저지릅니다.

  • 금융 사기: 공격자는 훔친 개인 정보를 사용해 피해자 명의로 계좌를 개설하거나 접근해 돈을 훔칩니다. 이러한 계좌는 자금 세탁 등 다른 범죄 활동을 지원할 수도 있습니다.
  • 소매 사기: 공격자는 훔친 개인 정보를 이용해 소매점이나 전자상거래 사이트 에서 구매를 하고, 재고를 쌓고, 잔액이 있는 상품권을 훔칩니다.
  • 호텔업 사기: 이러한 유형의 사기는 주로 여행 및 고객 로열티 프로그램을 표적으로 삼습니다. 공격자는 사기성 여행 또는 호텔 서비스를 이용해 사용자의 자격 증명과 신원 정보를 수집해 다른 용도로 사용합니다. 이들은 또한 이전에 획득한 로열티 포인트, 항공 마일리지, 보상 포인트를 자신이나 다른 사람을 위한 여행 서비스 예약 목적으로 사용합니다.

신임장 공격 문제

신원 기반 자격 증명 공격은 사기를 유발하는 자동화된 웹 공격의 가장 큰 원인입니다. 사이버범죄 포럼에서는 신원 정보를 쉽게 구입할 수 있습니다. 일부 소셜 미디어 플랫폼에서 목록을 찾아 구매할 수 있습니다.

최근 1~2일 이내에 도난당한 자격 증명 등의 최신 자격 증명은 사이버 범죄자에게 더 가치가 있고 구매 비용도 더 많이 듭니다. 오래된 자격증은 성공 가능성이 훨씬 낮기 때문에 가치가 낮습니다. 외부 계정 침해를 통해 귀중한 자격 증명과 개인 식별 정보가 유출되므로, 이러한 공격을 식별하고 차단하는 것이 어렵습니다.

예를 들어보겠습니다. 자격 증명이 도난되거나 획득되면 사이버 범죄자는 봇이나 기타 자동화된 도구를 사용하여 계정을 만들거나 액세스하려고 시도합니다. 수천 번(혹은 수백만 번)의 시도가 이루어질 수 있습니다. 자격 증명 기반 공격의 성공률 은 0.2%-2% 사이입니다 . 이러한 비율이 낮아 보일 수 있지만, 자격 증명 공격에는 높은 성공률이 필요하지 않습니다. 수십억 개의 자격 증명이 무료이거나 아주 적은 비용으로 제공되기 때문입니다.

계정 100만 개를 성공시키고 성공률이 2,000~20,000개라고 상상해보세요. 정말 엄청난 숫자죠!

계정 인수 및 사기 방지

이러한 범죄적 행위가 일련의 사건으로 이어진다는 것을 이해하는 것이 중요합니다. '산업화된 공격 주기'(아래 그림 참조)는 생태계의 중요한 요소를 보여줍니다. 안타깝게도 이는 규모가 크고 회복성이 강한 생태계이기 때문에 개인과 조직이 자신과 고객, 그리고 비즈니스 파트너를 보호하기 위해 항상 경계하는 것이 필수적입니다.

개인적으로 우리는 잠재적으로 피해를 줄 수 있는 피싱 공격을 식별하고, 매우 강력한 비밀번호를 사용하고, 여러 계정에서 비밀번호 재사용을 제한하는 방법을 배워야 합니다.

동시에 보안 및 사기 대응 팀은 산업화된 공격 라이프사이클을 공동으로 저지하기 위해 함께 협력해야 합니다.

아래 비디오를 시청하고 F5가 기업이 사이버 사기를 방지하는 데 어떻게 도움을 주는지 알아보세요.
 

사이버보안 인식의 달을 맞아 API에 대해 알아보고, API가 보안 문제가 될 수 있는 이유를 설명하는 4부작 블로그 게시물의 마지막 게시물을 기대하세요. 또한 이전 블로그 게시물도 꼭 읽어보세요. 최신 앱이 어떻게 구축되고 배포되는지 그리고 악의적인 행위자가 공격을 통해 애플리케이션을 악용하는 방법.