'인증번호'에 해당되는 글 2건

  1. 2013.01.22 스마트폰 무료쿠폰 문자 클릭 주의
  2. 2011.10.18 안드로이드 스마트폰 해킹, 이렇게 노린다
2013. 1. 22. 00:56

스마트폰 무료쿠폰 문자 클릭 주의

스마트폰 무료쿠폰 문자 클릭 조심하세요! 
- 치킨, 아이스크림, 햄버거 등 무료쿠폰 제공 미끼, 앱 설치만으로 25~30만원 휴대폰 결제 
- 안드로이드폰 대상 앱 설치와 동시에 악성코드 깔려 휴대폰 결제 
→ 이미 유출된 개인정보 주민번호, 전화번호 등으로 특정 이용대상 공격 
→ 앱 설치 후 결제위한 인증번호, 악성코드 제작자에게 전달 
- 통신사의 지나치게 높은 소액결제 한도도 문제 
→ 소비자가 소액결제 한도에 대해 결정권 가질 수 있어야 


□ 스마트폰 가입자가 3천만명을 넘어서면서 소비자들의 모바일기기 이용이 일상화·다양화되고 있지만, 편리한 만큼 많은 소비자피해가 발생하고 있다. 
최근 서울시전자상거래센터(http://ecc.seoul.go.kr)에는 스마트폰에 무료쿠폰이 도착했다는 문자를 클릭했다 휴대폰 요금이 25~30만원이 청구되었다는 소비자피해가 하루사이 4건이 접수되었다며 소비자 주의를 당부했다. 

□ 주로 햄버거, 치킨, 아이스크림 등 외식상품의 무료쿠폰을 가장해 특정 URL이 포함된 문자메세지(SMS)를 소비자에게 발송하고 이를 소비자가 클릭 하게 되면 악성코드가 휴대폰에 설치된다. 
이후 인증번호가 포함된 문자메세지가 소비자가 아닌 악성코드 제작자에게 전달되어 결제에 이용되는데 주로 게임 사이트 등에서 사이버머니를 구매한 후 되팔아 현금화하는 것으로 추정된다. 

○ 일명 체스트(chest)로 불리는 이 악성코드는 안드로이드폰 이용자를 대상으로 과거 대량으로 유출된 개인정보 중 주민번호와 전화번호를 이용해 특정한 공격대상을 정한다는 점에서 기존 악성코드보다 진보한 형태로 보고 있다. 

○ 소비자들의 피해내용을 살펴보면, 무료쿠폰 문자 클릭 시 자동으로 애플리케이션이 생성되지만 해당 애플리케이션을 클릭하면 오류가 발생했다며 애플리케이션이 실행되지 않았다고 공통으로 주장하고 있다. 

○ 소비자들은 인증번호 입력 등 결제와 관련한 어떠한 절차도 진행하지 않았기 때문에 청구서가 올 때 까지 결제사실을 모르는 경우가 대부분이다. 

○ 피해자들은 통신사, 결제대행업체(PG사), 결제가 이루어진 게임사가 서로 책임을 회피한다며 분통을 터뜨리고 있지만 해당 서버가 중국에 위치하고 있어 현실적으로 마땅한 피해보상 대책은 어려운 현실이다. 

□ 소비자의 등급에 따라 휴대폰 소액결제의 한도가 달라지지만 피해금액은 25~30만원 사이에 이루어지고 있으며, 소비자들은 자신의 한도액을 사전에 인지하고 있지 않아 이에 대한 개선이 필요한 것으로 나타났다. 

○ 일반적으로 통신사들이 소액결제 한도를 최초 가입 시 3만원으로 설정하지만 이용기간에 따라 자동으로 높아져 최고 30만원까지 이용이 가능하다. 
하지만 이에 대한 사전 고지가 제대로 이루어지지 않아 소비자가 이를 인지하는 경우는 매우 드물다. 

○ 이에 서울시전자상거래센터에서는 소액결제 한도액에 대해 소비자에게 사전에 알리고 소비자가 이에 대한 결정권을 가질 수 있어야 한다는 점과 30만원의 금액을 소액이라 부를 수 있는가에 대해 추가적인 검토가 필요하다는 내용을 방송통신위원회에 건의할 예정이다. 

□ 스마트폰 소액결제를 노린 악성코드 피해를 예방하기 위해서는 무료쿠폰 등으로 유인하는 문자메세지에 대한 주의가 필요하고 애플리케이션 설치는 반드시 공식 마켓을 이용하며, V3 같은 모바일 전용 백신을 설치하고 점검하는 습관이 필요하다. 
또한, 휴대폰 소액결제 한도를 확인해 개인의 이용형태에 따라 금액을 조절하는 것이 소비자피해를 예방하는 방법이다. 

■ 피해사례 

사례1. (김 **) 
1월 휴대폰 청구서를 확인하니 지난해 12월 3회에 걸쳐 게임아이템을 구입하고 25만원이 청구되었다. 
게임을 할 줄 모르고 인증번호 입력이나 승인을 한 적이 없었는데 통신사, 결제대행사, 게임회사와 통화하는 과정에서 아이스크림 무료쿠폰을 다운받은 사실을 확인했다. 
통신사, 결제대행사, 게임회사 서로 책임 없다며 경찰에 신고하라고 해서 사이버수사대에 신고하니 해킹을 당한 것이라고 한다. 

사례2. (김 **) 
1월 10일 햄버거 무료교환권을 준다는 문자를 받고 클릭했는데 어플이 설치되었고 이용하려고 하니 계속 오류가 발생한다는 문구가 떴다. 
며칠 후 휴대폰 이용내역 확인을 하다가 게임머니로 29만원이 결제된 사실을 확인했다. 
통신사와 결제대행사에 연락했으나 서로 책임이 없다며 회피한다. 

사례3. (윤 **) 
1월 9일 치킨 1만원 할인 문자가 와서 클릭하니 어플이 설치되었다. 
어플은 이용이 되지 않았고 다음날 확인하니 아이템베이를 통해 28만원이 결제되었다. 

■ 문의 
센 터 장 : 정지연 (3707-8361) 
상담팀장 : 전지은 (3707-8365)


출처 : 서울시전자상거래센터


Trackback 0 Comment 0
2011. 10. 18. 18:51

안드로이드 스마트폰 해킹, 이렇게 노린다

얼마 전 헐리우드 스타들의 휴대전화와 메일을 해킹해 누드사진을 유출시킨 해커가 FBI에 의해 붙잡혔다.

해커는 이들의 신상정보를 이용, 비밀번호를 유추했다고 진술했다. 개인 통신보안이 중요해진 요즘, 시만텍이 안드로이드 스마트 기기를 노리는 7대 공격수법을 발표했다.

보안 솔루션 전문기업 시만텍이 ’최신 안드로이드 악성코드의 공격동기(Motivations of Recent Android Malware)’백서를 발표했다. 안드로이드 모바일 컴퓨팅 플랫폼을 겨냥한 악성코드의 공격 동기와 범죄수법들을 심도있게 분석한 이번 자료는 향후 스마트 폰을 이용한 모바일 결제 시장이 확대됨에 따라 이런 보안 위협이 기하급수적으로 증가할 전망이라고 보고 있다.

시만텍은 시장조사기관 가트너의 자료를 인용, 전세계 모바일 결제 사용조 수가 지난해보다 38.2% 증가한 1억4110만 명을 넘어서고 규모 역시 75.9% 성장한 861억달러에 이를 것이라고 전망했다.

시만텍은 백서를 통해 모바일 보안 위협의 위험성을 인지하고 올바른 대응방안을 모색할 수 있도록 안드로이드 기반의 모바일 기기를 노리는 7대 공격수법과 실행 방식, 해커들의 금전적 이득을 취득 방법을 악성코드별 사례와 함께 밝혔다.

프리미엄 번호 과금 사기 프로세스.                                                                  [사진제공=시만텍]

안드로이드 기기 해커들의 7대 공격방법에는 첫째 공격자가 미리 등록한 프리미엄 요금제 번호로 사용자 몰래 주기적으로 SMS 메시지를 보내는 악성 앱을 개발 배포해 부당이익을 챙기는 프리미엄 번호 과금사기(Premium Rate Number Billing)가 있다.

두 번째는 스파이웨어(Spyware)로 안드로이드 모바일 기기 사용자들의 SMS 메시지와 이메일, 통화내역 등을 빼돌리고 사용자 위치를 추적, 감시할 수 있는 악성 앱을 판매하는 것이다.

세 번째는 공격자들이 악성코드를 배포할 악의적 웹사이트를 만들고 검색엔진 최적화 알고리즘을 이용, 검색 결과 상위에 노출시킴으로써 사용자를 악성코드 유포 사이트로 유인하거나 원치않는 광고에 노출 또는 클릭하도록 만드는 수법인 검색엔진 포이즈닝(Search Engine Poisoning)이 있다.

검색엔진 포이즈닝 프로세스.                                                                            [사진제공=시만텍]

네 번째는 클릭 당 과금(Pay-Per-Click)으로 검색광고 제휴 프로그램의 경우 사용자가 제휴 사이트를 통해 특정 웹사이트를 방문할 때마다 클릭 당 과금이 되는 점을 악용, 공격자가 악성 앱을 통해 부정클릭이나 인위적 방문을 유도, 클릭당 일정 비율의 광고요금을 편취하는 사기 수법을 소개했다.

비슷한 수법으로 설치 당 과금(Pay-Per-Install)으로 공격자가 다운로드, 설치 횟수에 따라 과금되는 악성 앱을 개발, 제휴 사이트 배포후 다운로드, 설치 건당 과금하는 것이 있다.

이외에도 해커들은 특정광고를 띄우는 애드웨어(Adware), 악성코드로 휴대폰 모바일 거래 인증번호를 수신하는 모바일 거래 인증번호 탈취(mTAN Stealing)등의 방법으로 해킹을 시도한다고 소개하고 있다.

윤광택 시만텍코리아 이사는 “모바일 기술이 급속히 발전하면서 사이버범죄도 진화를 거듭하고 있다”며, “특히 안드로이드 플랫폼을 겨냥한 모바일 악성코드는 아직 시작단계에 불과하지만 조만간 그 수와 고도화 측면에서 볼 때 큰 위협으로 대두될 수 있다”며, 기업 및 개인 사용자들의 주의를 당부했다.

<문영규기자 @morningfrost>

출처 : 헤럴드 경제

Trackback 0 Comment 0