낚시 메세지가 또 업그레이드되었다. 은행과 금융기관은 사용자 손실의 위험에 어떻게 대처해야 합니까?

미국 사이버 보안회사 ProofPoint 의' 2020 연회비 웨스트 합창단 상황 보고서' 에 따르면 전 세계 전염병의 영향을 받아 2020 년 글로벌 낚시 문자 공격 증가율이 300% 를 넘을 것으로 전망된다. 이 가운데 금융기관에 대한 낚시 공격이 가장 많아 모든 공격의 22.5% 를 차지했다. 중국에서는 이 비율이 26.88% 에 이릅니다.

최근' 위조은행 문자낚시' 사건이 빈번해지면서 중국은보감회도 긴급 문건을 보내 최근 발생한 여러 은행으로 가장해 서비스 정보를 보내는 문자낚시사기에 대한 위험 힌트를 제시했다.

흑단이 각 은행의 사용자를 겨냥해 사용자의 재산안전을 심각하게 위협하고 각 은행의 브랜드 이미지에 악영향을 미칠 조짐을 보이고 있다.

일찍이 20 12 년 동안 전 세계가 WhatsApp 와 같은 실시간 통신 소프트웨어를 통해 매일 보내는 문자는 19 억 개에 육박하는 반면, 전통적인 문자는 176 억 개에 불과했다. 그때부터 매년' 문자가 죽었다' 고 외치는 사람이 있다. 결과적으로, 사람들은 죽지 않았을뿐만 아니라, 매일 차례로 휴대 전화를 폭격, 패턴 을 변경합니다:

마케팅이 범람함에 따라 유량 전환 비용이 갈수록 높아지고 있다. 홈포인트가 가장 많은 오픈 스크린 광고를 예로 들어 보겠습니다.

이런 후기율이 높은 디자인은 조회수가 업계 12% 의 상한선을 돌파하기 위한 것이다. 문자 메시지 다름:

Mobile Squared 에 따르면 모든 마케팅 채널에서 문자 메시지의 거의 90% 가 수신 후 3 분 이내에 읽기가 열리는데, 이는 다른 어떤 직판 채널과도 비교할 수 없는 수준이다.

문자 메시지는 그 특유의 긴박감으로 새로운 기회를 낳았다. 기존의 SMS 검증 코드와 서비스 SMS 통지 외에도 점점 더 많은 은행들이 SMS 를 이용하여 신규 고객과 단골 고객을 홍보하고 있습니다. 점점 더 많은 은행 사용자들이 문자 메시지를 통해 은행과 상호 작용하는 것에 익숙해지기 시작했다. 무심코 은행도 흑산단을 도와 사용자 습관을 키웠다.

완벽한 낚시 공격 환경에서 흑단은 각 주요 은행들이 정기적으로 문자메시지를 통해 사용자와 상호 작용하는 것을 모방하고 낚시 문자 사기를 실시할 수 있다.

미국 연방조사국 산하의 인터넷 범죄 신고센터 (IC 3) 조사에 따르면 미국은 지난 3 년간 피싱 공격으로 인한 피해가 260 억 달러를 넘어섰다. 우리나라에서는 2020 년 이후 낚시 사기 정보 하나만 가로막고 6543.8+020 억원에 가까운 경제적 손실을 직접적으로 피했습니다.

미국에서는 모건대통은행이 금융 분야 대표로 사이버 비행과 애플과 함께 낚시 문자 모방을 가장 많이 받는 브랜드로 선정됐다. "가짜 은행 피싱 메일" 의 위협이 전 세계로 확산되었습니다.

국내에서 민생은행, 화하은행, 초상은행, 중방은행, 구이저우은행, 가흥은행, 호주은행, 쿤룬 은행, 정주은행 등을 포함한 많은 은행들이 있습니다. , 공식 채널을 통해 사용자에게 위험 힌트를 푸시하여 위조 은행 문자 메시지의 새로운 사기 수단을 경계하라고 경고합니다.

셋째, 낚시 공격 뒤의 검은 회색

최초의 사이버 공격 유형 중 하나로 피싱 공격은 1990 년대로 거슬러 올라간다. 모바일 인터넷이 발달하면서 모바일 낚시 공격은 전통적인 낚시 공격을 바탕으로 발전했다. 여기서 문자 낚시 공격은 전통적인 낚시 공격의 변종이다.

모바일 위협의 일환으로' 낚시 문자' 공격은 이미 인터넷의 중요한 위협이 되었다. 이름, 휴대폰 번호, 은행 카드 번호, 신분증 정보 등 다양한 정보와 데이터 유출 사건이 계속되면서 흑산에는 촉수가 닿을 수 있다.

낚시 공격에 대한 사회의 중시로 전통적인 공격 수단이 점차 사용자에게 친숙해지고 있으며, 단순한 정보 스푸핑과 유사한 사이트 내용의 스푸핑은 낚시 공격을 성공적으로 실현하기 어렵다.

저비용, 저위험, 광사망, 다수어 모델은 우세하지 않고, 흑산은 전문화, 조직화, 세분화로 전환된다. 가방망 서비스, 문자통로, 도솔채널, 게임요금 등 여러 개의 블랙그레이 산업 사슬이 참여한 낚시 문자 사기 조직이 점차 드러나고 있다.

1. 낚시 사이트:

위조의 핵심 부분으로서, 이것은 기본적으로 데이터 이외의 또 다른 하드 지출이다. 위조 은행 도메인 이름 도용, 공식 홈페이지가 각 주요 은행을 모방하고, 휴대전화 인터페이스에 맞는 수많은 낚시 사이트, 미국 또는 홍콩 무기록서버 구입, 요격 프로그램 구축 등을 포함한다. 5 년 전의 가격은 약 수천 위안에 달하는 완전한 낚시 사이트를 짓는다. (존 F. 케네디, 낚시, 낚시, 낚시, 낚시, 낚시, 낚시, 낚시)

분업이 점점 가늘어지면서 조별 인터넷 서비스 업체가 등장해 피싱 사이트 구축, 도메인 이름 구입, 서버 대여, 웹 사이트 유지 관리 등 흑산에 대한 종합적인 서비스를 제공하고 있다. 경쟁력을 강화하기 위해 서비스 공급업체는 다양한 백그라운드 관리 시스템을 개방하여 암시장 조직에' 원스톱 낚시 공격 서비스' 를 제공합니다.

2. 정확한 데이터 수집

흑산은 낚시 문자 메시지의 전환율을 높이고 운영 비용을 절감하기 위해' 데이터상인' 으로부터 데이터를 구매한다. 데이터 공급업체는 금융 업계 데이터가 가장 인기 있는 다양한 채널을 통해 다양한 업종의 사용자 데이터를 얻을 수 있습니다. 암시장, 암흑포럼, 소셜미디어 거래, 양질의 데이터를 통해 1 만 계산에 따르면 단가는 일반적으로 수천 원에 달합니다. 흑산이 은행 사용자의 실제 정보 (예: 이름, 휴대폰 번호, 신분증, 은행 카드 등 중요한 프라이버시 정보) 를 파악하면 낚시 문자의 파괴성이 높아질 수 있다.

의사 기지국은 낚시 문자 메시지를 보냅니다.

반정찰 능력과 기동성을 높이기 위해 의사 기지국 설비는 고정에서 이동까지, 고전력에서 저전력까지, 부피에서 소량까지, 범죄자들이 휴대하기 쉽도록 모바일 공격 모드를 실현하고 있다. 예를 들어, 사람들은 시속 500 원 안팎의 보수나 협력 공유로 그들의 설비를 가지고 도심과 대규모 지역사회를 왕복할 수 있다.

현재 국내 각 주요 사업자와 문자메시지 플랫폼의 풍제어 메커니즘이 갈수록 엄격해지면서 이들 낚시 사이트를 보낼 확률이 갈수록 높아지고 있다. 이에 따라 일부 흑산자들은 감사를 피하기 위해 국제 문자 채널을 이용해 정보를 보내기 시작했다. 이들 국제문자채널도 전문회사가 제공하는데, 보통 5,000 원부터 1 원당 3 ~ 4 센트입니다.

4. 면제

사용자가 미끼에 걸리면 암시장은 낚시 사이트 뒤에서 받은 데이터를 정리하고 각 은행의 온라인 빠른 지불 기능을 이용하여 잔액을 조회한다. 그런 다음 직접 소비, 이체 또는 제 3 자 지불. 잔액을 다 쓸 수 없는 것은 다른 가격에 팔릴 것이고 (대부분 1 위안 가격으로 여러 번 포장해 판매됨), 잔액이 너무 커서 때때로 사람을 찾아' 세제' 를 할 수 있다.

5. 세탁 재료:

흑산은 여러 가지 방법으로' 재료' 를 실현한다. 일반적으로 이들은 빠른 지불 충전 수전, 통화료, 게임통화, 또는 제 3 자 지불 이체 인터페이스, 은행 빠른 지불의 기타 허점을 이용해' 4 대 항목' 을 현금으로 바꾼 다음 각종 수단을 통해 파트너와 비례해 추적을 피하며 하루 평균 수입이 6 자리 이상이다.

이와 동시에 낚시 문자는 빠른 기술 반복 및 정책 업데이트를 유지합니다.

이동통신, 짧은 동영상 플랫폼, 리치 미디어 등 마케팅 장면을 활용하면 낚시 문자 메시지의 내용이 점점 풍부해질 것이다. 이 메시지는 사용자가 사기 어플리케이션을 다운로드하거나 비밀번호 도용 또는 사기 모바일 웹 사이트에 대한 링크를 열도록 유도하는 데 사용됩니다.

더 많은 사기적인 텍스트 사용과 짧은 체인은 은행 사용자에게 실제 사기 목적을 숨기고 있다. 흑산은 합법적인 웹 주소+문자 형식+높은 방역 도메인 이름을 사용하여 가짜 도메인 이름이 모바일 장치의 작은 주소 표시줄에만 도메인 이름의 합법적인 부분을 표시할 수 있도록 합니다.

뉴스의 긴박성과 저항할 수 없는 유혹에 대한 강조로 낚시 문자의 전환률이 더욱 높아질 것이다.

잦은 피싱 공격으로 각 대형 은행의 온라인 사용자가 유실되고 있다. 시만텍의 한 연구에 따르면 은행 사용자의 거의 3 분의 1 은 피싱 공격에 대한 두려움 때문에 온라인 뱅킹 사용을 포기해야 한다고 밝혔다.

낚시 문자메시지 공격 수단이 갈수록 복잡해지면서 사건이 계속 고발되면서 은행과 사용자에게 막대한 손실을 초래하고 사용자의 재산 안전에 심각한 영향을 미치며 은행에 대한 신뢰를 잃어가고 있다. 상호 작용 보안 분야의 서비스 공급업체인 희단은 기업과 사용자 간의 상호 작용 관점에서 낚시 문자 공격을 검토합니다.

일찍이 5 년 전 KCon 해커 대회에서 사이버 보안 전문가인 Seeker 는' 의사 기지국 고급 활용 기술-SMS 인증코드 완전 해독' 에서 SMS 인증코드라는 보안 인증 메커니즘이 쉽게 돌파되기 쉬우므로 가능한 한 빨리 폐기해야 한다고 밝혔다.

GSM 의사 기지국 건설: 하드웨어: 일반 PC, USRP b2x 0+ 안테나 (또는 모토로라 C118/C139+CP2/ 소프트웨어: Ubuntu Linux, 오픈 BSC. OpenBSC:osmo com 이 시작하고 유지 관리하는 고성능 오픈 인터페이스 오픈 소스 GSM/GPRS 기지국 시스템입니다.

SMS 인증 코드의 결함과 보안 위험을 감안하여 구체적인 표현은 다음과 같습니다.

분명히, SMS 인증 코드에만 의존하여 사용자 신분을 확인한다면, 어느 정도 안전의 위험이 있는 것이 분명하다. 플랫폼의 경우, SMS 검증 외에도 대량 지불, 사용자 거래 암호 수정 등의 업무 시나리오에서 새로운 인증 방식을 추가해야 합니다.

대체: 탈민 휴대폰 번호+무문자 로그인

흑산의 낚시 문자 공격 과정을 자세히 살펴보면 문자메시지는 흑산이 은행 방어선을 돌파하는 중요한 돌파구다. 은행 및 금융 기관의 핵심 비즈니스 노드에서' 무감각 현지 인증' 이 기존의 SMS 인증 코드를 대체하고 있습니다.

인증을 위한 업그레이드 방안으로서 국내 3 대 통신업체와 손잡고' 무감각한 현지 인증' 을 내놓았다. 사용자 SIM 카드의 휴대폰 번호는 통신업체 게이트웨이에 의해 직접 검증되며, 전체 암호화 대체 SMS 인증코드입니다. 불법분자에게 문자 없이 냄새를 맡게 하고, 근원에서 문자 스니핑 위험을 해결하다. 또한 사용자 운영 프로세스를 대폭 간소화하고, 사용자 경험을 원활히 하고, 전환률을 높이고, 은행과 금융 기관이 인증 프로세스를 최적화하고, 활동을 혁신, 보존 및 홍보할 수 있도록 지원합니다.

은행 사용자의 경우 개인 정보 보호 의식을 높이면 보안 위험의 절반 이상을 막을 수 있습니다. 20 19 데이터 유출 비용 보고서에는 데이터 세트가 있고, 데이터 유출의 49% 는 인적 오류와 시스템 장애로 인해 낚시 공격의 피해자가 됩니다.

다행히 문자낚시 공격은 비교적 방어하기 쉽다. 너는 네가 아무것도 하지 않는 한, 보통 자신의 안전을 보장할 수 있다는 것을 알게 될 것이다. 따라서 의심되는 낚시 문자 메시지를 만났을 때 마음을 가라앉히고 세 가지 문제를 생각해 보는 것이 좋습니다.

물론, 문자 메시지 스니핑이 발생하면, 다음과 같은 빠른 응답도 해야 한다. (윌리엄 셰익스피어, 문자, 문자, 문자, 문자, 문자, 문자, 문자)

은행 사용자로서 모바일 보안 사건에 대한 관심과 민감도를 높이고, 개인 관련 사건에 대한 응급처리를 하고, 사후 손실 방지 작업을 잘 한다. 일단 이런 상황이 발생하면 경각심을 높이고 필요한 경우 종료, 비행 모드 켜기 등 대응조치를 취해야 한다.

앞으로 몇 년 동안 모바일 네트워크 보안은 여전히 낙관적이지 않을 것으로 예상됩니다. 프라이버시 유출과 이동공격의 확산과 융합은 더욱 심화되고 사이버 공격의 확산으로 이어질 것이다. 대립은 계속될 것이다. 기업이든 소비자든, 안전의식을 지속적으로 강화하고, 자신의 위험방지 능력을 높이고, 잠재적인 위험을 제때 제거해야만 위험에서 벗어날 수 있다는 것은 변하지 않는 진리다.