휴대폰의 NFC 기능을 악용해 ATM 카드를 사칭하고 현금을 훔치는 피싱 공격이 출현했다.
안드로이드 사용자를 대상으로 프로그레시브 웹 앱(PWA)을 사용해 로그인 자격 증명을 교체함으로써 은행 계좌를 노리는 새로운 유형의 피싱 공격이 최근 등장했다는 보도가 있었다. 기존 보도의 업데이트에 따르면 동일한 피싱 공격 중 일부는 맬웨어를 사용하여 NFC 정보를 훔쳐 휴대폰을 ‘복제’하고 비접촉 결제 및 ATM 출금을 구현하고 있다.
해당 공격은 PWA 공격과 동일한 익숙한 벡터를 사용함으로써 사용자가 은행 로그인을 모방한 웹 기반 더미 앱을 설치하도록 유도하는 대량 문자 및 이메일을 전송함으로써 시작된다. 이후 해당 데이터를 수집하여 불법 이체를 수행한다.
올해 3월 이셋(ESET)에서 관찰한 일부 사례에서는 해커가 동일한 기법을 사용하여 사용자가 N게이트 NFC(NGate NFC) 취약점을 기반으로 앱을 설치하도록 유도했다. 이를 통해 해커들은 거의 모든 최신 스마트폰에 설치되어 있고 대부분의 직불 카드와 신용 카드에 내장된 NFC 결제 시스템을 통해 사용자를 인증하는 데 사용되는 시스템을 복제했다. 그 다음 이러한 인증 정보를 별도의 휴대폰으로 전송하여 소매점이나 은행 기계의 탭 투 페이 인터페이스를 통과할 수 있었다.
지난 3월 프라하에서는 한 용의자가 도난당한 NFC 인증 정보를 사용하여 ATM에서 현금을 인출한 혐의로 체포된 바 있다. 그는 16만 6,000 체코 코루나(약 6,500달러로)를 소지한 채 체포됐다.
이셋과 블리핑 컴퓨터가 자세히 설명한 해당 공격은 꽤 정교하게 이뤄진다. 이 맬웨어는 피해자의 휴대폰으로 직불 카드를 스캔하는 등 여러 단계를 거쳐 NFC 데이터를 캡처한다. 그 다음에는 카드의 NFC 인증 정보를 복사하여 공격자에게 전송한다.
설명에 따르면 실제로 NFC 정보를 스푸핑하려면 약간의 기술적인 작업이 필요하지만, 피해자의 휴대폰을 루팅하거나 수정할 필요 없이 악성 앱으로 손상시키기만 하면 된다. 이셋은 특정 루팅된 휴대폰으로 이 공격을 재현하기도 했다.
이셋은 사용자의 NFC 데이터를 노리는 맬웨어 공격의 일부가 3월에 체포된 이후 중단된 것으로 보고 있다. 그러나 이러한 기술은 범죄자들 사이에서 빠르게 확산되는 경우가 많다. 공격에 사용된 NFC 도구는 2017년에 독일 다름슈타트 공과대학교 학생들이 처음 개발했으며 최근 공격용으로 개조됐다.
이러한 공격으로부터 자신을 보호하려면 모르는 발신자가 보낸 ‘뱅킹’ 또는 금융 관련 메시지는 항상 의심하고 해당 이메일이나 문자에 포함된 직접 링크를 클릭하지 않아야 한다. 확인되지 않은 출처의 앱(또는 프로그레시브 웹 앱)은 설치하지 않아야 한다. dl-ciokorea@foundryco.com
