연말 쇼핑시즌이 다가오면 매년 해커와 신용사기가 기승을 부린다. 소비자의 한순간의 방심이 사기 희생자가 되기쉽다.
사이버 범죄는 크리스마스 시즌이 대목이다. 온라인 쇼핑이 크게 늘어나면서 소비자들은 웹사이트 여기저기에 신용카드 번호의 흔적을 남기며 일부 오프라인 상점의 허술한 신용보안을 통해 카드정보를 도난당한다.
소매점들이 크리스마스에 특수를 노리는 것처럼 해커들도 크리스마스 시즌에 피슁 이메일부터 전화사기까지 다양한 방법을 총동원해 소비자의 주머니 대목을 노린다. 가장 주의해야 할 6가지 사이버 범죄 유형을 정리해 보았다.
폼재킹 (Form jacking)
웹사이트 주소창에 작은 자물쇠가 보이면 안전한 웹사이트로 생각하는 것이 일반적이다. 그러나 꼭 그렇지만은 않다.
이런 신뢰를 악용한 사기법이 ‘디지탈 카드 스키머(digital card skimmer))’로 알려진 폼재킹이다. 폼재킹은 악성 자바 스크립 코드를 온라인 소매점 ‘체크아웃’ 페이지에 심어서 신용카드와 기타 지불정보를 도난한다.
폼재킹은 합법적 회사의 백오피스 프랫폼 또는 공급체인에 잠입, 그 회사의 체크아웃 페이지로 위장하는 도난방법을 사용한다.
악성 스크립이 페이지에 숨어있다가 방문자가 주문양식에 신용카드와 같은 정보를 입력할 때까지 기다린다. 입력되자마자 정보는 해커에게 전송되는데 소비자가 거래를 마치기 위한 ‘주문완료’ 버튼을 누르기 전에 정보가 전송된다.
RiskIQ와 Symantec 조사에 따르면 사기꾼들은 이 공격법을 더 많이 사용하는 것으로 나타났다.
Ticketmaster, Stein Mart, Newegg, British Airways, Shopper Approved를 포함해 인기높은 웹사이트가 폼재킹에 노출된 것으로 보인다.
가짜 온라인 소매업
신용 사기꾼들은 종종 유명 소매점인것처럼 위장하여 회사 소비자들의 계정에 침입해 계정을 바이러스로 감염시킨다.
사이버 범죄자들은 유명 브랜드를 위조하는데 매우 능숙해 합법적인 웹사이트와 가짜를 구별할 수 있을 것이라고 자신해서는 안된다. 이들은 검색어 ‘키워드 스터핑 (Keyword stuffing: 관련 검색어를 중점적으로 공격, 검색결과를 조작하려고 시도)’과 검색엔진에 가짜 사이트를 팝업시키는 속임수를 사용한다. 또 소셜 미디어 광고, 과장 온라인 할인, 쿠폰, 피싱 이메일을 사용해 가짜 웹사이트를 홍보한다.
소매점 웹사이트의 진위를 가리는 최선의 방법은 URL을 자세히 보는것이다. 일반적으로 해커들은 소매점의 실제 웹사이트 주소를 사용할 수 없기 때문에 그 주소를 모방한다. 가장 흔한 속임수는 특정문자를 숫자 (숫자 0과 1은 알파벳 소문자 o, I와 유사하다)로 바꾼다. 예를 들어 Kohls(dot)com을 Koh1s(dot)com 으로 바꾸는 것이다.
최근 자주 사용되는 다른 공격법은 ‘콤보스쿼티 (combosquatting)’이다. 유명 소매점의 웹사이트 주소에 단어나 구두점을 추가해서 URL로 등록하는 수법이다. 예를 들어 deals-Macys(dot)com, Macysdeals(dot)com, Macys(dot)deals(dot)com 등을 미국의 메이시 백화점의 웹사이트, Macys(dot)com 으로 교란시키는 것이다.
해커들은 유명 웹사이트 도메인에서 자주 발생하는 오타법을 사용해 위조하는 ‘타이포스쿼팅 (typosquatting)’수법도 사용한다. 주소창에 오타를 입력하면 에러 페이지 대신에 악성 웹사이트로 연결된다. 예를들어 타겟 웹사이트를 도용한 Targrt(dot)com이다.
쉬밍 (Shimming)
카드 스키머 (신용카드 판독기에 삽입되어 신용카드 정보를 읽는 장치)의 수법을 알아내자 해커들은 다른 방법을 개발했다..
더 새롭고 도난을 잘 하는 형태인 ‘쉬머 (shimmer)’을 만들어 냈다. 스키머는 카드 판독기 입력부분에 장착되지만 쉬머는 카드 판독기 안쪽에 삽인되는 매우 얇은 칩으로 발견이 더 어렵다. 더욱 나쁜 것은 쉬머가 카드 스마트 칩에서 정보를 직접 훔칠 수 있다. 스마트 칩의 정보를 도난당하면 카드를 판독기에 넣어서 암호를 입력하는 카드가 제공하는 보안자체가 공격을 받을 수 있다.
스미슁 (Smishing)과 & 카드리스 ATM 사기
피슁의 공격대상은 이메일 뿐이 아니다. SMS 피슁을 일컫는 스미슁은 범죄자들이 이메일 대신, 문자 메세지를 사용해서 소비자들이 결제정보를 공유하도록 속이거나 악성링크를 클릭하도록 유도한다.
이번 연말 쇼핑시즌에는 스미슁 공격이 증가할 것으로 예상된다. 긴급한 계좌에 돈이 부족하다거나, 배달을 놓쳤다는 등 은행, 소매점, 배달회사 메세지를 가장하는 수법이다.
특히 위험한 신종 공격법은 “카드리스 ATM” 사기이다. 많은 은행들이 사용하기 시작한 카드없이 사용가능한 ATM 장점을 이용한다. 아이러니하게도 은행들이 이 서비스를 제공하는 이유는 ATM 카드 스키밍을 줄이기 위한 것이다. 그러나 카드리스 ATM의 새 특징이 독특한 사기수법 개발을 초래했다.
올해 초 미국 Fifth Third Bank 소비자들은 스미슁 사기로 10만 달러를 도난당하는 사건이 발생했다. 피해자들은 은행을 가장해 계좌가 동결되었다는 가짜 메세지를 받았다. 이 메세지는 계좌를 풀 수 있는 링크가 포함되어 있었는데 이 링크는 범죄자들이 운영하는 가짜 웹사이트였다. 이들은 고객정보를 사용해 카드리스 자동 인출기에서 현금을 인출했다.
범죄자의 콜 센터
과거부터 텔레 마케팅이나 다른 전화사기는 잘 알려져 있지만 최근에는 이와는 차원이 다른 범죄자 콜센터가 생기고 있다.
범인들은 이를 피슁, 스뮈슁 광고를 위한 “공중지원”이라고 부른다. 피슁 이메일, 문자 메세지에는 도움을 청할 수 있는 무료 전화번호가 포함되어 있거나 또는 피슁 시도 직후 콜센터가 직접 전화를 하고 있다. 합법적인 것으로 가장하기 위해서 요청하는 내용이 매우 긴급한 것처럼 만든다. 이 통화들은 연말시즌에 기하급수적으로 증가할 것으로 보인다. 아마존 주문이 취소되거나 배달을 받지 못하거나, 은행 돈을 다 써서 마이너스가 되었다는 등의 메세지는 연말 소비자들의 초조함을 이용한 것이다.
Caller ID 를 도용하는 방법도 사용되는데 합법적 회사 또는 국세청과 같은 기관의 진짜 전화번호를 흉내내는 것이다. 범인들의 콜센터는 매우 전문적이며 훈련이 잘 되어 있으며 신뢰도를 높이기 위해서 특정 억양을 있는 사람들을 고용하기 까지 한다.
가상화폐 (Virtual money) 사기법
해커들은 신용카드 뿐만 아니라 항공기 마일리지, 리워드 포인트와 같은 가상화폐도 훔친다.
미국의 컴페리테크의 조사에 따르면 에어 마일리지 도난이 증가하고 있으며 훔친 가상화폐와 물건을 판매하는 6개의 범죄 온라인이 존재한다고 밝혔다. 범인들은 훔친 마일리지와 선물카드를 팔거나 다른 계정으로 이체할 수 도 있다.
또 연말 사기법은 Fortnite 게임과 같은 가상세계에 까지 확산되고 있다. 해커들이 Fortnite 게임에서 사용되는 V-Buck과 같은 통화를 훔치고 있다. 이 수법은 V-Bucks 행사를 홍보하여 게이머들이 계좌정보, 개인 및 금융정보를 공유하거나 온라인 결제를 하도록 유도한다.
사비어 사기 피하는 기본
사이버 범죄수법은 끊임없이 진화하고 바뀌고 있지만 이들로부터 안전하기 위해서는 몇가지 기본적인 사항을 지키면 된다.
우선 절대로 민감한 개인 및 금융정보를 전화나 기타 방법으로 공유해서는 안된다. 마찬가지로 아무리 긴급한 상황의 요청이라도 이메일, SMS를 통해서 받은 링크를 클릭해서는 안된다.
아울러 이메일, SMS, 소셜 미디어에서 받은 공유링크를 통해서 소매점의 웹사이트를 방문해서는 안된다.
방문한 웹사이트 주소를 더블 클릭하고 수상한 점이 있는 지 살펴라. 또한 온라인 쇼핑결제는 절대로 현금카드를 사용하지 말고 항상 신용카드를 사용한다. 신용카드 사기는 은행으로부터 보호받을 수 있다.
마지막으로 컴퓨터 소프트웨어를 깨끗히 유지하고 안티바이러스 소프트웨어를 업데이트하며 보안이 강한 암호를 사용하며 가능하면 보호장치를 이중으로해 unencrypted된 인터넷 연결을 피해야 한다.
