싱가포르의 소매 은행 기관은 피싱 공격의 위험을 완화하기 위해 온라인 계좌에 로그인할 때 인증 목적으로 일회용 비밀번호(OTP) 사용을 단계적으로 폐지하기 위해 3개월의 시간을 줍니다.
싱가포르 통화청(MAS)과 싱가포르 은행 협회(ABS)는 2024년 7월 9일에 이 결정을 발표했습니다.
MAS는 “모바일 기기에서 디지털 토큰을 활성화한 고객은 브라우저나 모바일 뱅킹 앱을 통해 은행 계좌에 로그인할 때 디지털 토큰을 사용해야 합니다.”라고 밝혔습니다.
“디지털 토큰은 사기꾼이 훔치거나 고객을 속여 공개하게 할 수 있는 OTP가 필요 없이 고객의 로그인을 인증합니다.”
MAS는 또한 금융 사기를 저지르기 위해 자격 증명을 훔치고 계좌를 하이재킹하려는 공격으로부터 보호하기 위해 고객에게 디지털 토큰을 활성화할 것을 촉구하고 있습니다.
ABS의 이사인 Ong-Ang Ai Boon은 성명에서 “이 조치는 고객에게 은행 계좌에 대한 무단 접근으로부터 추가 보호를 제공합니다.”라고 말했습니다. “이러한 조치는 약간의 불편을 초래할 수 있지만 사기를 예방하고 고객을 보호하는 데 필요한 조치입니다.”
OTP는 원래 계정 보안을 강화하기 위한 2차 인증(2FA) 형태로 도입되었지만 사이버 범죄자들은 유사 사이트를 사용하여 이러한 코드를 수집할 수 있는 뱅킹 트로이 목마, OTP 봇, 피싱 키트를 고안했습니다.
Telegram을 통해 접속이 가능하며, 100~420달러 사이의 가격으로 광고되는 OTP 봇은 사용자에게 전화를 걸어 계정 보호를 우회하는 데 도움이 되는 휴대폰의 2FA 코드를 입력하도록 설득함으로써 소셜 엔지니어링을 한 단계 더 발전시켰습니다.
이러한 봇은 주로 피해자의 OTP 코드를 약탈하도록 설계되었으며, 사기꾼은 데이터 침해, 다크 웹에서 판매되는 데이터 세트, 자격 증명 수집 웹 페이지 등의 다른 수단을 통해 유효한 자격 증명을 얻어야 합니다.
“OTP 봇의 주요 임무는 피해자에게 전화를 거는 것입니다. 사기꾼들이 의지하는 것은 전화입니다. 검증 코드는 제한된 시간 동안만 유효하기 때문입니다.” 카스퍼스키 위협 연구원 올가 스비스투노바가 최근 보고서에서 말했습니다.
“메시지는 잠시 동안 답장이 없을 수 있지만, 사용자에게 전화를 걸면 코드를 받을 가능성이 커집니다. 전화는 또한 목소리 톤으로 피해자에게 원하는 효과를 낼 수 있는 기회입니다.”
지난주 SlashNext는 FishXProxy라는 “종단 간” 피싱 툴킷의 세부 정보를 공개했습니다. 이 툴킷은 표면적으로는 “교육 목적으로만” 제공되지만, 방어를 우회하면서 대규모 피싱 캠페인을 실행하려는 야심 찬 위협 행위자에게 기술적 기준을 낮춰줍니다.
“FishXProxy는 사이버범죄자들에게 다층 이메일 피싱 공격을 위한 강력한 무기고를 제공합니다.”라고 회사는 언급했습니다. “캠페인은 고유하게 생성된 링크나 동적 첨부 파일로 시작하여 초기 조사를 우회합니다.”
“피해자들은 Cloudflare의 CAPTCHA를 사용하여 보안 도구를 걸러내는 고급 안티봇 시스템에 직면합니다. 영리한 리디렉션 시스템은 실제 목적지를 가리고, 페이지 만료 설정은 분석을 방해하고 캠페인 관리를 돕습니다.”
FishXProxy에 추가된 또 다른 주목할 만한 점은 공격자가 다양한 피싱 프로젝트나 캠페인에서 사용자를 식별하고 추적할 수 있는 쿠키 기반 추적 시스템을 사용한다는 것입니다. 또한 HTML 밀수 기법을 사용하여 악성 파일 첨부 파일을 만들어서 사이드스텝 감지를 회피할 수도 있습니다.
Cisco Talos는 “HTML 밀수는 두 가지 주요 이유 때문에 이메일 게이트웨이 및 웹 프록시와 같은 경계 보안 제어를 우회하는 데 매우 효과적입니다. HTML5 및 JavaScript의 합법적인 기능을 악용하고 다양한 형태의 인코딩 및 암호화를 활용합니다.”라고 밝혔습니다.
수년에 걸쳐 모바일 맬웨어가 증가함에 따라 Google은 싱가포르에서 새로운 시범 프로그램을 공개하기도 했습니다. 이 프로그램의 목적은 사용자가 Android 앱 권한을 남용하여 OTP를 읽고 민감한 데이터를 수집하는 특정 앱을 사이드로딩하는 것을 방지하는 것입니다.