|
해커들은 결제 카드 용 3D Secure를 우회하는 방법을 공유한다 침해사고분석팀 2021.03.04 |
|
|
사이버 범죄자들은 온라인 카드 거래 승인에 사용되는 3D Secure(3DS) 프로토콜을 우회하는 새로운 방법을 지속적으로 탐색하고 문서화하고 있다.
지하 포럼에 대한 토론은 소셜 엔지니어링과 피싱 공격을 결합하여 보안 기능을 우회하는 방법을 제공한다.
여러 다크웹 포럼의 개인들은 고객 거래를 보호하기 위해 3DS를 구현한 상점에서 사기 구매에 대한 지식을 공유하고 있다.
3DS는 신용 카드 또는 직불 카드를 사용하여 온라인 구매에 대한 보안 계층을 추가한다. 결제를 승인하려면 카드 소유자의 직접 확인이 필요하다.
이 기능은 은행이 거래를 승인하기 위해 코드나 정적 패스워드를 요청한 첫 번째 버전에서 발전되었다. 스마트폰 용으로 설계된 두 번째 버전(3DS2)에서는 사용자가 자신의 생체정보 데이터(지문, 얼굴 인식)를 이용해 은행 앱에서 인증하여 구매를 확인할 수 있다.
3DS2가 제공하는 고급 보안 기능에도 불구하고, 첫 번째 버전은 여전히 널리 배포되어 사이버 범죄자들이 활용할 기회를 준다.
사회 공학은 3DS 코드를 얻는다.
블로그 게시물에서 위협 인텔리전스 회사인 Gemini Advisory의 분석가는 3DS를 구현한 온라인 상점에서 사기 구매를 위해 사이버 범죄자들이 다크 웹 포럼에서 논의하는 몇 가지 방법을 공유한다.
이 모든 것은 적어도 이름, 전화번호, 이메일 주소, 실제 주소, ID 번호, 운전면허 번호를 포함하는 전체 카드 소유자의 정보로 시작한다.
사이버 범죄자들은 이러한 세부 정보를 사용하여 고객에게 전화를 걸어 신원을 확인하는 은행 직원을 사칭한다. 개인 식별 정보를 제공함으로써, 해커들은 피해자의 신뢰를 얻고 프로세스를 완료하기 위해 그들의 비밀번호나 코드를 요청한다.
동일한 전술이 이후의 3DS 모델에서도 작동하여 실시간으로 구매할 수 있다. 한 해커가 최상위 지하 포럼의 게시물에서 이 방법을 설명했다.
[그림1. 지하 포럼 게시글]
해커는 전체 카드 소유자의 세부 정보, 음성 교환기, 전화 번호 스푸핑 앱을 사용하여 사이트에서 구매를 시작한 다음 피해자에게 전화하여 필요한 정보를 얻을 수 있다.
또한, 피싱 및 인젝션을 통해 3DS 코드를 얻을 수 있다. 피해자가 피싱 사이트에서 제품을 구매하면 해커들은 모든 세부 정보를 합법적인 상점에 전달하여 제품을 받는다.
Gemini Advisory의 조사 결과에 따르면 일부 사이버 범죄자들은 훔친 신용카드 데이터를 PayPal 계정에 추가해 결제 수단으로 활용하기도 한다.
또 다른 방법은 고전적이며 보안 코드를 가로채 해커에게 전달할 수 있는 맬웨어로 피해자의 전화를 손상시키는 것이다.
이러한 기법의 대부분은 이전 버전의 3DS가 존재하는 곳에서 작동한다. 3DS2는 널리 채택되려면 아직 멀었다. 유럽은 보다 안전한 표준(PSD2 규제 - 3DS2를 통한 강력한 고객 인증)으로의 전환을 주도하고 있으며, 미국에서는 3DS1을 사용하는 가맹점에 대한 사기 책임 보호가 2021년 10월 17일에 만료된다.
그러나 Gemini Advisory는 사이버 범죄자들도 사회공학을 통해 보다 안전한 3DS2를 노릴 것으로 보고 있다.
출처 |
