불법 자금 송금이란?
불법 자금 송금은 합법적인 사용자의 동의 없이 온라인 뱅킹을 악용하여 승인되지 않은 거래를 수행하는 범죄 활동을 말합니다. 일본 경찰청의 보고서에 따르면, 불법 자금 송금 사건은 2013년부터 급증하여 2015년에는 1,495건에 달했고, 총 피해액은 30억 7,300만 엔에 달했습니다. 처음에는 도시와 지방 은행만 영향을 받았지만, 2014년에는 신용 조합과 협동조합으로 영향이 확대되었고, 2015년에는 농업 은행과 노동 은행까지 확대되었습니다.
이전에는 피싱 사기(피해자를 합법적인 사이트와 유사한 가짜 은행 웹사이트로 유도해 로그인 정보를 훔치는 사기)가 가장 흔한 범죄 형태였습니다. 그러나 최근 몇 년 동안 MITB(Man-In-The-Browser)라고 하는 좀 더 정교한 방법이 널리 퍼졌습니다.
MITB 공격은 트로이 목마 맬웨어 감염으로 인해 발생합니다. 악성 소프트웨어는 일단 설치되면 사용자의 웹 브라우저에 상주하며 공격자의 명령 및 제어(C&C) 서버와 통신하여 온라인 뱅킹 사이트의 대상 목록 등의 정보를 검색합니다. 그런 다음 맬웨어는 사용자의 검색 활동을 모니터링하여 사용자가 타깃 은행 사이트에 접속하면 자동으로 감지합니다. 가짜 로그인 화면으로 사용자를 속여 자격 증명을 수집하고, 이 정보를 사용하여 사용자 모르게 불법적인 송금 거래를 실행합니다. 사용자가 합법적인 은행 사이트와 상호 작용하므로 서버 인증서를 통해 사이트의 진위성을 확인하는 것은 효과적이지 않습니다. 게다가 사용자가 로그인한 후에 승인되지 않은 작업이 발생하기 때문에 일회용 비밀번호와 같은 강화된 인증 방법조차도 보호 효과가 거의 없습니다. 이런 공격을 수행하는 도구는 쉽게 구할 수 있으며, 타깃 서비스 범위도 온라인 뱅킹을 넘어 다른 플랫폼으로 확대되고 있습니다.