본문으로 이동

SIM 스와핑

위키백과, 우리 모두의 백과사전.

SIM 스와핑[1]은 계정 탈취 사기의 일종으로, 일반적으로 휴대폰 문자 메시지(SMS)나 전화 통화를 인증 방식으로 사용하는 2단계 인증의 취약점을 노린다.

방법

[편집]

이동통신 서비스 제공자가 다른 SIM 카드가 장착된 기기로 일반적으로 휴대폰을 분실하거나 도난당했을 때, 또는 고객이 새 휴대폰으로 서비스를 변경할 때 번호 이동 기능을 악용한다.

수법은 공격자가 피싱 이메일을 사용하거나 조직범죄자로부터 구매하거나[2] 피해자를 직접 사회공학 수법을 통하거나[3] 온라인 상에 유통되는 유출된 데이터에서 추출하는 방법[4] 통해 피해자의 개인 정보를 수집하는 것으로 시작된다.

보통 공격자는 피해자의 개인정보를 활용해 피해자를 사칭하고 통신 서비스 제공업체의 기술 지원 서비스에 연락해 피해자의 전화번호를 공격자의 SIM 카드에 이동시키도록 설득하려고 시도한다.[5][6] 하지만 통신회사 직원이 공격자에게 뇌물을 받아 SIM 번호를 직접 변경하는 경우도 있는데,[7][4] 공격자는 소셜 미디어나 직원 디렉토리를 통해 T-모바일버라이즌 등 통신사 직원에게 연락해 암호화폐를 지불하는 대가로 번호 이동을 요구하기도 했다.[8][9]

이런 일이 발생하면 피해자의 휴대폰은 네트워크 연결이 끊기고, 사기범은 피해자에게 오도록 되어 있는 모든 문자 메시지와 음성 통화를 가로챈다. 이를 통해 사기범은 피해자의 번호로 전송되는 일회용 비밀번호를 가로챌 수 있으며, 이를 이용하는 2단계 인증 방식을 무력화시킨다. 워낙 많은 서비스가 복구 전화번호에만 접근해도 비밀번호 재설정을 허용하기 때문에, 이 사기를 통해 범죄자들은 탈취된 번호에 연결된 거의 모든 계정에 접근할 수 있게 된다. 이는 그들이 은행 계좌에서 자금을 직접 이체하거나 정당한 소유자를 갈취하고, 신분 도용을 위해 암시장에서 계정을 판매할 수도 있다.

각주

[편집]
  1. “NPR Search : NPR”. 《www.npr.org》. 
  2. Tims, Anna (2015년 9월 26일). 'Sim swap' gives fraudsters access-all-areas via your mobile phone”. 《the Guardian》 (영어). 2018년 8월 22일에 확인함. 
  3. “Many Bengalureans lose cash to sim card swap fraud - Times of India”. 《The Times of India》. 2018년 8월 22일에 확인함. 
  4. Murphy, Margi; Bennett, Drake (2023년 8월 4일). “Teen Gamers Swiped $24 Million in Crypto, Then Turned on Each Other”. 《Bloomberg Businessweek. 2024년 5월 11일에 확인함. 
  5. Hartmans, Avery (2023년 4월 12일). “A hacker ripped me off for $10,000. The scam turned out to be brilliant — and terrifying.”. 《Business Insider. 2024년 5월 11일에 확인함. 
  6. Franceschi-Bicchierai, Lorenzo (2020년 7월 9일). “Verizon Adds Protection Against SIM Swapping Hacks in Mobile App”. 《Vice》 (영어). 2024년 5월 11일에 확인함. 
  7. Franceschi-Bicchierai, Lorenzo (2019년 5월 13일). “AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring”. 《Vice News》 (영어). 2020년 1월 23일에 확인함. Among the alleged criminals were also two former AT&T contract employees and one former Verizon employee, who helped the alleged criminals by providing private customer information in exchange for bribes, according to court documents. 
  8. Franceschi-Bicchierai, Lorenzo (2018년 8월 3일). “How Criminals Recruit Telecom Employees to Help Them Hijack SIM Cards”. 《Vice》 (영어). 2024년 5월 11일에 확인함. 
  9. TRUȚĂ, Filip (2024년 4월 17일). “Scammers Are Tempting Telecom Employees with $300 Bribe Offers for SIM Swapping Help”. 《Bitdefender》 (영어). 2024년 5월 11일에 확인함. 
원본 주소 "https://ko.wikipedia.org/w/index.php?title=SIM_스와핑&oldid=39529831"