[News Clipping] 2021. 04. 3주차

Main News - 타인에 의한 구글 플레이 무단결제, 어떻게 막을 수 있나

타인에 의한 구글 플레이 무단결제, 어떻게 막을 수 있나

구글 계정정보 노출 시 타인에 의한 인앱 결제 가능
결제 수단 최소화하고, 계정은 2단계 인증으로 보호해야

구글 플레이스토어에서 애플리케이션이나 앱 내 서비스 구매를 위해

등록해둔 결제수단을 이용해 타인이 게임 내 재화를 구매하는 사례가 자주 발생
특히, 휴대폰 결제의 경우 소액결제를 막아놓았다고 해도

이와 별도로 운영되는 '콘텐츠이용료'의 존재를 모르는 경우가 많아 추가적 피해 발생
사용자가 계정에 대한 보호를 제대로 해놓지 않은 상태에서 자신의 구글 계정 정보가 유출된다면,

이 정보를 얻은 누구든 등록된 결제 수단 이용 가능 -->

최근 발생하는 무단결제는 사용자 구글 계정이 유출돼 타인에 의해 인앱 결제가 일어난 것

계정정보 유출은 어떻게?
- 구글이 직접 공격을 당해 사용자 데이터가 유출됐을 가능성 낮음.

다른 서비스에서 유출한 ID/PW 정보를 활용했을 가능성

(많은 사용자가 여러 서비스에 동일ID/PW 사용, 특정 서비스에서 유출된 정보가 다크웹 등을 통해 거래되기도 함)
- 일부 보안대책이 허술한 서비스는 사용자 정보를 평문으로 저장하는 경우도 있음
--> 이러한 정보를 입수한 사이버 공격자는 구글 서비스에 하나하나 대입하며 유효한 계정을 찾고, 결제에 악용
- 사용자가 피싱 메일이나 사이트 등을 통해 자신도 모르게 정보를 넘겨줬을 가능성

예방법은?
- 근본적으로 결제가 불가능하도록 하거나 계정 자체를 공격자가 이용할 수 없도록 하는 것이 바람직
- 결제수단을 최소화해서 관리, 인앱 결제 등을 자주 이용하지 않는 사용자라면 모든 결제수단을 아예 제거
- 휴대폰 결제의 경우 소액결제와 콘텐츠이용료를 잘 구분, 한도 지정
- 2단계 인증 설정 -->ID/PW 외에도 추가적인 인증 수단을 이용하기 때문에 계정 정보 유출만으로 악용되기 어려움
- 결제용 비밀번호를 따로 설정할 수 있도록 하는 방식을 도입하는 것도 방법이 될 듯

 

News Tracking - 수백만 원 나 몰래 결제... 구글 플레이 계정 탈취 예방법은 (2020.05.13)

[세이프 스마트폰] 수백만 원 나 몰래 결제… 구글 플레이 계정 탈취 예방법은

최근 구글 플레이스토어 계정 해킹으로 금전적 피해를 봤다는 사례 다수 접수
다크웹 등 암시장에서 거래한 개인정보로 구글 계정 탈취 가능성
->수사 인력 한정적인 탓에 해커 검거 어려움
적게는 수십만원, 많게는 수백만원에 이르는 금액 몇 분에 걸쳐 순식간에 결제
(소액을 여러번 나눠서 결제)
과거 특정 경로로 노출된 피해자의 로그인 정보가 다크웹이나 암시장에 거래되면서

해커가 해당 정보로 피해자 구글 계정을 탈취했을 수 있음
해커는 다수 로그인 정보를 한꺼번에 얻은 후 자동화 시스템으로 접근 가능한 로그인 정보만 추려 공격을 시도

-> 피해가 빠르게 확산
금전 피해를 입기 전 구글 계정에 수상한 로그인 시도를 한 흔적이 있다는 메일을 받은 사례
-> 해커가 가짜 메일을 피해자에게 보냈을 가능성 있음
-> 해당 메일에서 링크를 클릭해 비밀번호를 변경했다면 그 정보가 해커에게 전달돼 해킹에 악용됐을 가능성도 있음
사이버 공격은 많지만 할당되는 수사 인력에는 한계가 있어 해커를 잡기 쉽지 않음
-> 피해 사례가 크게 알려져 여론의 주목을 받지 않는 이상 피해자만 나올 뿐

해킹 결제 피해 당했다면 우선 통신,카드사 통해 결제 차단 이후 구글 플레이에 신고, 해킹된 계정 비밀번호 변경
이후 피해 금액을 환불 받기 위해 거래일로부터 120일 이내에 구글 플레이에서 제공하는 미승인 구매신고 페이지 양식에 맞게 피해 사실 알려야 함.
플랫폼 계정 해킹 문제이므로 게임사 도움 받기 어려움, 모바일 게임을 앱플레이어로 PC방에서 이용할 때 유출되기도
구글 플레이 측은 미승인 거래 피해를 차단하기 위해 이중 보안을 사용하는 방법 안내.
-> 계정에 등록한 결제 수단은 삭제하고, 되도록 구매시 추가 인증을 하도록 설정할 것을 권고

---

보안과 관련한 뉴스들을 보면 대부분의 피해는 사소하지만 중요한 보안수칙을 어기지 않는 것에서 시작하는 것 같다. 나 역시 귀찮음 뒤에 숨어 간과하던 사소한 것들, 패스워드를 잘 안바꾼다던지, 결제수단을 모두 등록해 놓는다던지 등 내 생활이 편리해질 수 있겠지만 그만큼 내 정보에 접근하는 해커에게도 문을 열어주는 셈이다. 조금 더 경각심을 가지고 귀찮음을 이겨 보안을 강화할 수 있도록 노력해봐야겠다.

 

Main News - 음성 변조 기반 소프트웨어가 공격자들의 서버에서 발견됐다

음성 변조 기반 소프트웨어가 공격자들의 서버에서 발견됐다

음성을 변조하는 소프트웨어가 APT-C-23이라는 공격자들의 서버에서 발견
공격자들이 미래 피싱 공격에 활용하려고 준비 중에 있던 것으로 보임
APT-C-23은 주로 중동 지방에서 공격을 실시하는 단체, Molerats라는 공격 단체의 하위그룹, 팔레스타인에 근거지를 두고 있는 것으로 보임, 피해지는 주로 팔레스타인과 이스라엘, 가끔 서방 정부들. 주로 염탐과 정보수집을 목적으로 함
2020년, 공격자들이 서버 설정을 잘못해 공격 표적들에게 심을 멀웨어가 호스팅 되어 있어 이들의 멀웨어가 전부 공개됨
이번에 발견된 APT-C-23의 도구들 중 가장 흥미로운 건 음성을 변조시키는 애플리케이션인 Morph Vox Pro.
-> APT-C-23이 피싱 캠페인을 주로 실시하던 걸 생각했을 때, 이 음성 변조 도구의 존재 역시 피싱을 위한 것이라고 추측 가능(그럴듯한 오디오 메시지를 통해 표적들이 멀웨어를 설치하도록 유도)
그 외에 공격자들이 표적 공격만 하는 게 아닌 피싱 이메일을 대량으로 발송하기도 한다는 것을 발견
-> 취약한 라우터를 스캔해 찾아주는 ZoomEye와, 마이크로소프트 계정들을 훔치는 피싱 페이지 발굴

News Tracking - 보이스 피싱의 진화... 자녀 목소리까지 위조 (2012.04.16)

보이스 피싱의 진화… 자녀 목소리까지 위조

불법 유출된 정보 이용해 인터넷 전화로 발신 조작... 검찰, 금감원 가짜 홈페이지도 만들어
10대.20대.30대 연령별로 '살려줘요', '때리지 마세요' 등 짧은 말 녹음해 범행에 이용
전화 거치면 소리 단순해져 다급한 부모들 구별 못해

경찰, 금융감독원 등이 집중 단속을 하고 있지만 보이스 피싱 피해 사례가 끊이지 않음
->경찰의 수사기법보다 보이스 피싱 사기단의 수법 진화가 더 빠르기 때문

자기 자녀의 목소리도 아닌데 부모가 속는 이유?
->사람은 최대 8000Hz까지 섬세한 소리를 낼 수 있지만 휴대전화는 300~2500Hz 사이의 음폭만 전달-
-> 전화를 거치면서 소리가 단순해져 비슷하게 느낄 수 있고, 부모는 불안해져 자녀 목소리 구별 더욱 어려움

보이스피싱 사기단은 발신번호를 마음대로 지정할 수 있는 인터넷 전화를 이용, 실제 검찰, 금감원, 은행 등의 전화번호 뿐 아니라 자녀의 전화번호로 발신번호를 조작 -- 무차별적인 개인 정보 유출 때문에 가능해짐

---

이전부터 꾸준히 보이스피싱이 성행해왔지만, 인터넷에서 보내지는 피싱 이메일에까지 음성 변조 기반 소프트웨어가 이용될 수 있다는 소식에 안타까웠다. 기사는 2012년 기사지만 보이스피싱 기술이 나날이 발전해서 이제는 목소리도 변조할 수 있는 것으로 알고 있다. 요즘 주변에서 보이스피싱이나 문자로도 피싱 범죄가 자주 일어나는 것 같다. 나도 피싱문자를 종종 받고, 어머니랑 친구도 보이스피싱 전화를 받았다고 한다. 인원이 부족해서 그런건지 사회적으로 빈도수는 계속 늘어나지만 보이스피싱같은 이런 류의 범죄를 그렇게 집중해서 다루지 않는 것 같다. 잡기도 어렵고 너무 많아서 그런 것 같지만 조금 더 범죄자 검거에 힘썼으면 하는 바람이다.