당신은 당신이 모든 올바른 움직임을하고 있다고 생각합니다. 당신은 당신의 보안에 현명합니다. 모든 계정에 이중 인증이 활성화되어 있습니다. 그러나 해커는 이를 우회할 수 있는 방법이 있습니다. 바로 SIM 스와핑입니다.
그것은 희생자가 된 사람들에게 끔찍한 결과를 초래하는 파괴적인 공격 방법입니다. 다행히도 자신을 보호할 수 있는 방법이 있습니다. 작동 방식과 수행할 수 있는 작업은 다음과 같습니다.
목차
SIM 스왑 공격이란 무엇입니까?
“SIM 스와핑”에는 본질적으로 잘못된 것이 없습니다. 휴대전화를 분실한 경우 이동통신사에서 SIM 교환을 수행하고 휴대전화 번호를 새 SIM 카드로 이동합니다. 일상적인 고객 서비스 작업입니다.
문제는 해커와 조직적인 범죄자들이 전화 회사를 속여 SIM 스왑을 수행하도록 하는 방법을 알아냈다는 것입니다. 그런 다음 SMS 기반 2FA(2단계 인증)로 보호되는 계정에 액세스할 수 있습니다.
갑자기 귀하의 전화번호가 다른 사람의 전화와 연결되었습니다. 그러면 범죄자는 당신을 위한 모든 문자 메시지와 전화를 받습니다.
2단계 인증은 비밀번호 유출 문제에 대응하기 위해 고안되었습니다. 많은 사이트가 비밀번호를 제대로 보호하지 못합니다. 제3자가 암호를 원래 형식으로 읽는 것을 방지하기 위해 해싱 및 솔팅을 사용합니다.
설상가상으로 많은 사람들이 여러 사이트에서 비밀번호를 재사용합니다. 한 사이트가 해킹되면 공격자는 이제 다른 플랫폼의 계정을 공격하는 데 필요한 모든 것을 갖게 되어 눈덩이 효과를 만듭니다.
보안을 위해 많은 서비스에서 사용자가 계정에 로그인할 때마다 특별한 OTP(일회성 비밀번호)를 제공하도록 요구합니다. 이러한 OTP는 즉석에서 생성되며 한 번만 유효합니다. 또한 짧은 시간 후에 만료됩니다.
편의를 위해 많은 사이트에서 이러한 OTP를 문자 메시지로 휴대전화로 전송하는데, 이는 자체적인 위험이 있습니다. 공격자가 전화기를 훔치거나 SIM 교환을 수행하여 전화번호를 알아낼 수 있다면 어떻게 됩니까? 이를 통해 그 사람은 은행 및 금융 계좌를 포함한 디지털 생활에 거의 제한 없이 액세스할 수 있습니다.
그렇다면 SIM 스왑 공격은 어떻게 작동합니까? 글쎄요, 공격자가 전화 회사 직원을 속여 전화 번호를 자신이 제어하는 SIM 카드로 전송하도록 하는 데 달려 있습니다. 이것은 전화를 통해 또는 전화 매장에서 직접 발생할 수 있습니다.
이를 수행하기 위해 공격자는 피해자에 대해 약간 알아야 합니다. 다행히 소셜 미디어는 보안 질문을 속일 수 있는 약력으로 가득 차 있습니다. 첫 학교, 애완 동물 또는 사랑, 어머니의 결혼 전 이름은 모두 소셜 계정에서 찾을 수 있습니다. 물론 실패하면 항상 피싱이 있습니다.
SIM 스와핑 공격은 관련되고 시간이 많이 걸리므로 특정 개인에 대한 표적 침입에 더 적합합니다. 그것들을 대규모로 끌어내는 것은 어렵습니다. 그러나 널리 퍼져 있는 SIM 스와핑 공격의 몇 가지 예가 있습니다. 한 브라질의 조직범죄 조직은 5,000명의 희생자를 SIM 스왑 가능 비교적 짧은 시간 동안.
“포트아웃” 사기도 비슷하며 전화번호를 새로운 이동통신사로 “포팅”하여 전화번호를 도용하는 것과 관련이 있습니다.
가장 위험에 처한 사람은 누구입니까?
필요한 노력으로 인해 SIM 스와핑 공격은 특히 놀라운 결과를 가져오는 경향이 있습니다. 동기는 거의 항상 재정적입니다.
최근 암호화폐 거래소와 지갑이 인기 있는 타겟이 되었습니다. 이러한 인기는 기존 금융 서비스와 달리 비트코인에 대한 지불 거절과 같은 것이 없다는 사실로 인해 더욱 복잡해졌습니다. 일단 보내면 사라집니다.
또한 은행에 등록하지 않고도 누구나 암호화폐 지갑을 만들 수 있습니다. 돈과 관련된 익명성에 가장 가깝기 때문에 도난당한 자금을 쉽게 세탁할 수 있습니다.
이것을 어렵게 배운 한 명의 잘 알려진 희생자는 다음과 같습니다. 비트코인 투자자, 마이클 타핀, SIM 스와핑 공격으로 1,500코인을 잃었습니다. 이것은 비트코인이 사상 최고가를 달성하기 불과 몇 주 전에 일어난 일입니다. 당시 Tarpin의 자산 가치는 2,400만 달러가 넘었습니다.
ZDNet 저널리스트인 매튜 밀러(Matthew Miller)는 SIM 스왑 공격의 희생자가되었습니다., 해커는 자신의 은행을 사용하여 25,000달러 상당의 비트코인을 구매하려고 했습니다. 다행히 은행은 돈이 그의 계좌에서 나오기 전에 청구를 취소할 수 있었습니다. 그러나 공격자는 여전히 Google 및 Twitter 계정을 포함하여 Miller의 전체 온라인 생활을 폐기할 수 있었습니다.
때때로 SIM 스와핑 공격의 목적은 피해자를 당황하게 하는 것입니다. 이 잔인한 교훈은 Twitter와 Square 설립자인 Jack Dorsey가 2019년 8월 30일에 배웠습니다. 해커 그의 계정을 도용했다 수백만 명의 사람들이 팔로우하는 자신의 피드에 인종차별적 및 반유대주의적 표현을 게시했습니다.
공격이 발생했는지 어떻게 알 수 있습니까?
SIM 스왑 계정의 첫 번째 징후는 SIM 카드가 모든 서비스를 잃는 것입니다. 데이터 요금제를 통해 문자 또는 전화를 받거나 보내거나 인터넷에 액세스할 수 없습니다.
경우에 따라 전화 번호를 새 SIM 카드로 옮기기 몇 분 전에 전화 서비스 제공업체에서 교환이 진행 중임을 알리는 문자를 보낼 수 있습니다. 이것은 Miller에게 일어난 일입니다.
“6월 10일 월요일 밤 11시 30분, 큰 딸이 어깨를 흔들며 깊은 잠을 깨웠습니다. 그녀는 내 트위터 계정이 해킹된 것 같다고 말했다. 상황이 그보다 훨씬 더 나빴다는 것이 밝혀졌습니다.
침대에서 일어나 Apple iPhone XS를 들고 ‘T-Mobile 경고: xxx-xxx-xxxx용 SIM 카드가 변경되었습니다. 이 변경이 승인되지 않은 경우 611로 전화하십시오.’”
이메일 계정에 여전히 액세스할 수 있는 경우 계정 변경 알림 및 하지 않은 온라인 주문을 포함하여 이상한 활동이 보이기 시작할 수도 있습니다.
어떻게 대응해야 할까요?
SIM 교환 공격이 발생하면 상황이 악화되지 않도록 즉각적이고 단호한 조치를 취하는 것이 중요합니다.
먼저 은행과 신용카드 회사에 전화를 걸어 계좌 동결을 요청하세요. 이렇게 하면 공격자가 사기 구매에 자금을 사용하는 것을 방지할 수 있습니다. 당신도 신분 도용의 피해자였으므로 다양한 신용 조사 기관에 연락하여 신용 동결을 요청하는 것도 현명합니다.
그런 다음 가능한 한 많은 계정을 손상되지 않은 새 이메일 계정으로 이동하여 공격자보다 “앞서서” 시도하십시오. 이전 전화번호의 연결을 해제하고 강력한(완전히 새로운) 비밀번호를 사용하세요. 제 시간에 연락할 수 없는 계정의 경우 고객 서비스에 문의하세요.
마지막으로 경찰에 연락하여 신고를 해야 합니다. 이 정도는 말할 수 없습니다. 당신은 범죄의 피해자입니다. 많은 주택 소유자 보험 정책에는 신분 도용에 대한 보호가 포함되어 있습니다. 경찰 보고서를 제출하면 귀하의 정책에 대해 클레임을 제기하고 약간의 돈을 회수할 수 있습니다.
공격으로부터 자신을 보호하는 방법
물론 예방은 항상 치료보다 낫습니다. SIM 스와핑 공격으로부터 보호하는 가장 좋은 방법은 SMS 기반 2FA를 사용하지 않는 것입니다. 다행히도 몇 가지 매력적인 대안이 있습니다.
Google Authenticator와 같은 앱 기반 인증 프로그램을 사용할 수 있습니다. 다른 수준의 보안을 위해 YubiKey 또는 Google Titan Key와 같은 물리적 인증자 토큰을 구매하도록 선택할 수 있습니다.
문자 또는 통화 기반 2FA를 반드시 사용해야 하는 경우 다른 곳에서는 사용하지 않는 전용 SIM 카드에 투자하는 것을 고려해야 합니다. 또 다른 옵션은 대부분의 국가에서 사용할 수 없는 Google 보이스 번호를 사용하는 것입니다.
안타깝게도 앱 기반 2FA 또는 물리적 보안 키를 사용하더라도 많은 서비스에서 이를 우회하고 전화번호로 전송된 문자 메시지를 통해 계정에 다시 액세스할 수 있습니다. Google 고급 보호와 같은 서비스는 “저널리스트, 활동가, 비즈니스 리더 및 정치 캠페인 팀과 같이” 표적이 될 위험이 있는 사람들에게 보다 강력한 보안을 제공합니다.