반응형
뱅킹
-
뱅킹 트로이목마로 이중인증 무력화카테고리 없음 2016. 8. 8. 13:03
문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용..