사이버범죄에 해당하는글 2



ATM 염탐(skimming)이란 ATM에 각종 장치를 설치하여 카드정보를 탈취하는 범죄수법을 의미한다. 이를 방지하기 위해서는 ATM에 어떤 수상한 물체가 부착되지 않았는지 확인해야 한다. 그런데 이제는 맨눈으로 전혀 알아볼 수 없는 수법을 통한 ATM 정보탈취가 가능해지고 있다.


카스퍼스키 글로벌 연구분석팀과 해킹테스트팀이 최근 ATM Infector라는 사이버범죄그룹의 사례를 통해 밝혀낸 내용에 따르면 ATM에 별도의 기기를 부착하지 않고 ATM 자체를 정보탈취수단으로 탈바꿈시킬 수 있다. Skimer라는 이름의 맬웨어를 ATM에 심으면 ATM 자체 카드판독기와 핀 패드를 통해 은행카드정보를 탈취할 수 있게 된다. 이 경우 카드판독기와 핀 패드를 제어하는 데서 나아가 현금지급장치까지 제어할 수 있으며 따라서 카드정보 탈취에 그치지 않고 실제로 현금을 인출하기까지 할 수 있다. 이는 일종의 이중수법으로 현금 인출의 경우 쉽게 의심을 사고 자칫 대규모 수사로 이어질 수 있기 때문에 평소에는 맬웨어만 조용히 작동시키면서 카드정보를 탈취하고 현금 인출은 향후 선택방안으로 남겨 두는 것이다.


ATM 보안은 물리적 측면에서는 상당히 강력하지만 사이버공간에서는 취약점이 적지 않다. 이번 사례의 경우 ATM 감염은 물리적 접속 또는 은행 내부네트워크를 통해 이루어졌다. Skimer 맬웨어가 ATM에 설치되고 컴퓨터 부분을 감염시키면 공격자가 ATM을 제어할 수 있게 되며 기기 자체를 정보탈취수단으로 사용할 수 있다. Skimer 맬웨어는 공격자가 기기를 제어하기 전까지 정숙 상태를 유지한다. 공격자가 맬웨어를 다시 작동시키려면 마그네틱 부위에 정해진 정보가 기록된 카드를 사용하고 Skmier는 이 정보를 읽어들여 하드코딩된 명령을 실행하거나 카드가 작동시킨 메뉴를 통해 명령에 응답하게 된다. 공격자가 카드를 꺼내고 나서 60초 내에 핀 패드를 통해 정해진 키를 입력하면 화면에 Skimer의 그래픽인터페이스를 표시할 수 있다. 이를 통해 공격자는 21종의 명령을 실행할 수 있으며 그 내용은 다음과 같다.

• 현금인출(카드별 금액 지정)

• 카드정보 수집

• 자체 삭제

• 삽입카드에 내장된 최신코드 통한 자체 업데이트

• 카드 및 핀 데이터를 삽입카드에 파일로 저장

• 수집된 카드정보를 ATM 영수증에 출력



방지요령


카스퍼스키 연구진은 위 맬웨어의 활동을 적발하기 위해 은행들이 내부 시스템에서 어떤 파일을 검색해야 되는지에 대한 정보를 제공했다. https://securelist.com/blog/research/74772/atm-infector/


한편 ATM Infector 활동경과에 대한 상세정보는 수사기관, CERT, 금융기관, 카스퍼스키 고객진에 대해 비공개로 제공됐다.


ATM Infector는 ATM의 컴퓨터를 직접 검사해 보기 전에는 감염 여부를 전혀 알 수 없다는 점에서 일반인이 보기에도 섬뜩한 면이 있다. 은행은 대체로 PUN 입력내역으로 정상적인 카드소유자의 거래실행이 입증된다고 보고 핀 입력이 잘못된 경우에도 이를 고객 잘못으로 판단하는 경향이 있으며 이 경우 은행의 판단결과를 뒤집기는 어려우며 돈을 돌려받을 가능성도 높지 않다. 결국 ATM Infector의 피해를 완전히 막기는 어렵지만 다음 요령을 통해 적어도 피애금액을 크게 줄일 수는 있다.


1. 감염된 ATM을 완벽히 식별해 낼 순 없지만 적어도 ATM 사용 위치를 고려할 수는 있다. 은행지점에 위치한 ATM의 경우 감염이 어렵고 은행 기술팀에 의한 조사빈도도 높기 때문에 상대적으로 안전하다고 할 수 있다.


2. 카드 입출금내역을 주기적으로 확인하는 게 좋으며 SMS 알림이 가장 좋은 방법이다.


3. 실행한 적 없는 거래내역이 확인된다면 이를 은행에 알리고 해당 카드를 즉시 정지시켜야 한다. 대응이 신속할수록 피해액을 최대한 줄일 수 있다.




Alex Drozhzhin, Invisible skimmers at the ATMs, 5. 17. 2016.

https://usblog.kaspersky.com/invisible-skimmer-at-atm/7151/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 8. 3. 14:21



 

사이버범죄자들에 대해 확실한 건 바로 이들이 끈질기다는 사실입니다. 이들은 어떤 수법을 발견하게 되면 그 수법이 완전히 막힐 때까지 끊임없이 활용하고 또 개량할 겁니다. 피해자의 파일을 해킹하고 해독 불가능하게 암호화시켜버리는 랜섬웨어는 상당히 성공적이었으며 개인사용자와 기업 모두에게 중대한 위협으로 떠올랐습니다. 예방대책이 없는 상태에서 랜섬웨어 공격을 당하게 되면 어떤 식으로든 그 대가를 치를 수밖에 없습니다.

 

최근 등장한 새로운 랜섬웨어를 보면 이 문제가 금방 해결되지는 않으리라 여겨집니다. Locky라는 랜섬웨어는 악성 이메일첨부물을 통해 윈도컴퓨터를 감염시키고 있습니다. 또한 안드로이드, 리눅스, 맥을 표적으로 하는 랜섬웨어도 나오고 있습니다.

 

랜섬웨어라는 현재진행형의 문제와 관련하여 소포스가 랜섬웨어 대비대책을 세울 수 있는 새로운 리소스를 마련했습니다. 이 리소스는 쉽게 따라갈 수 있는 가이드로 데이터 안전관리를 위한 보안설정, 인력교육, 파일백업 등 실천사항을 알려 줍니다.

 

본 가이드의 내용은 다음과 같습니다.

랜섬웨어의 공격원리

종래 보안대책이 있음에도 랜섬웨어 감염이 퍼지는 이유

랜섬웨어 대비를 위한 장단기 조치사항

랜섬웨어 대비를 위한 소포스솔루션 최적설정방법

 

본 기술백서를 통해 현재 그리고 장래의 랜섬웨어 위협을 어떻게 방지할 수 있는지 알 수 있습니다. 본 자료는 공개컨텐츠로 별도의 등록이 요구되지 않습니다.

 

소셜미디어를 통해 소포스를 팔로잉하고 소포스 블로그를 구독하면 진화하는 위협에 대한 최신정보를 제공받고 소포스 전문가들의 보안자문도 받을 수 있습니다. 또한 수상경력을 자랑하는 Naked Security 블로그를 방문하여 랜섬웨어위협 방지에 대해 다음과 같은 최신 연구결과와 인기 보안지침을 확인할 수 있습니다.


랜섬웨어 필수이해사항 

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/


보안과 편의성: 스팸으로 퍼지는 랜섬웨어 

https://nakedsecurity.sophos.com/2016/03/14/security-vs-convenience-the-story-of-ransomware-spread-by-spam-email/


랜섬웨어 감염시 선택지는? 

https://nakedsecurity.sophos.com/2016/03/03/got-ransomware-what-are-your-options/

 

아울러 소포스 전문가인 Chester WisniewskiPaul Ducklin이 랜섬웨어 작동원리와 대비대책에 대해 설명하는 소포스 TechKnow 팟캐스트를 통해 랜섬웨어에 대한 속성교육을 받을 수 있습니다.

소포스 TechKnow 팟캐스트: 

https://soundcloud.com/sophossecurity/sophos-techknow-dealing-with-ransomware

 

 

 

John Zorabedian, How to stay protected against ransomware, 3. 18. 2016.

https://blogs.sophos.com/2016/03/18/how-to-stay-protected-against-ransomware/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

'IT, 보안 소식&팁' 카테고리의 다른 글

애플, 윈도 퀵타임 지원 중단  (0) 2016.04.27
랜섬웨어 감염시 선택지는?  (0) 2016.04.26
랜섬웨어 방지요령  (0) 2016.04.26
랜섬웨어 재조명: 방지대책은?  (0) 2016.04.05
간편한 랜섬웨어 방지대책  (0) 2016.04.05
미국정부 vs 애플  (0) 2016.03.16

COMMENT : 0 TRACKBACK : 0

날짜

2016. 4. 26. 14:43

위로가기