신용 카드 스키머와 쉬머를 발견하고 피하는 방법
게시 됨: 2022-01-29신용카드와 체크카드가 얼마나 불안한지 깨달았던 순간을 생생하게 기억합니다. 누군가가 기성품 USB 마그네틱 스트립 판독기를 컴퓨터에 연결하여 키보드로 인식하는 것을 보았습니다. 그들은 워드 프로세서를 열고 카드를 긁었습니다. 일련의 숫자가 텍스트 파일에 충실하게 나타났습니다. 그게 전부였습니다. 카드 정보가 도용당했습니다.
동일한 기술이 성숙되고 소형화되었습니다. 작은 "스키머"를 ATM 및 결제 단말기에 부착하여 카드의 마그네틱 스트립("마그네틱 스트립"이라고 함)에서 데이터를 훑어볼 수 있습니다. 새로운 카드의 칩을 공격하기 위해 더 작은 "쉬머"가 카드 리더에 끼워집니다. 이제 지불 웹사이트에서 데이터를 훔치는 전자 스키밍(e-skimming)이라는 디지털 버전도 있습니다. 다행히도 이러한 공격으로부터 자신을 보호할 수 있는 방법이 많이 있습니다.
스키머란?
스키머는 합법적인 카드 리더 안에 숨겨진 작고 악의적인 카드 리더로, 카드를 스와이프하는 모든 사람의 데이터를 수집합니다. 하드웨어가 얼마 동안 데이터를 모은 후 도둑이 손상된 시스템에 들러 훔친 모든 데이터가 포함된 파일을 줍습니다. 그 정보로 그는 복제된 카드를 만들거나 사기를 저지를 수 있습니다. 아마도 가장 무서운 부분은 스키머가 종종 ATM이나 신용 카드 판독기가 제대로 작동하는 것을 막지 않아 탐지하기 어렵게 만든다는 것입니다.
ATM 내부에 들어가는 것은 어렵기 때문에 ATM 스키머는 때때로 기존 카드 리더기에 적합합니다. 대부분의 경우 공격자는 계정 액세스에 사용되는 개인 식별 번호 또는 PIN을 기록하기 위해 근처 어딘가에 몰래 카메라를 설치합니다. 카메라는 카드 리더기, ATM 상단 또는 천장에 장착될 수 있습니다. 일부 범죄자는 실제 키보드 위에 가짜 PIN 패드를 설치하여 카메라를 거치지 않고 PIN을 직접 캡처합니다.
이 사진은 ATM에서 사용 중인 실제 스키머입니다. 저 이상하고 큼직큼직한 노란색 부분이 보이시나요? 바로 스키머입니다. 이것은 다른 기계와 색상과 재질이 다르기 때문에 쉽게 찾을 수 있지만 다른 징후가 있습니다. 카드를 삽입하는 슬롯 아래에는 기기의 플라스틱 하우징에 있는 화살표가 있습니다. 회색 화살표가 노란색 판독기 하우징에 매우 가깝고 거의 겹치는 것을 볼 수 있습니다. 실제 카드 리더기는 카드 슬롯과 화살표 사이에 약간의 공간이 있기 때문에 기존 리더 위에 스키머가 설치되었다는 표시입니다.
ATM 제조업체는 이런 종류의 사기 행위를 가만히 두지 않았습니다. 최신 ATM은 때때로 ATM에 삽입되거나 부착된 물체를 감지하기 위한 레이더 시스템을 포함하여 변조에 대한 강력한 방어를 자랑합니다. 그러나 Black Hat 보안 컨퍼런스의 한 연구원은 정교한 사기의 일환으로 ATM의 온보드 레이더 장치를 사용하여 PIN을 캡처할 수 있었습니다.
스키머는 여전히 위협적입니까?
이 기사에 대한 업데이트를 조사하는 동안 우리는 Kaspersky Labs에 연락했고 회사 담당자는 우리에게 놀라운 사실을 말했습니다. 스키밍 공격이 감소하고 있다는 것입니다. 카스퍼스키 대변인은 "스키밍은 과거에도 지금도 여전히 드문 일"이라고 말했다.
Kaspersky 담당자는 더 큰 추세를 나타내는 것으로 EAST(European Association for Secure Transactions)의 EU 통계를 인용했습니다. EAST는 스키머 공격이 2020년 4월 1,496건에서 같은 해 10월 321건으로 감소했다고 보고했다. COVID-19의 영향은 그 하락과 관련이 있을 수 있지만 그럼에도 불구하고 극적입니다.
물론 그렇다고 해서 스키밍이 사라진 것은 아닙니다. 최근 2021년 1월에 뉴저지에서 주요 스키밍 사기가 발견되었습니다. 여기에는 1,000명이 넘는 은행 고객에 대한 공격이 포함되었으며 범죄자들은 150만 달러 이상을 탈취하려 했습니다.
스키머에서 쉬머로
미국 은행들이 마침내 나머지 세계를 따라잡고 칩 카드를 발행하기 시작했을 때, 그것은 소비자들에게 중요한 보안 혜택이었습니다. 이러한 칩 카드 또는 EMV 카드는 고통스러울 정도로 단순한 구형 지불 카드보다 더 강력한 보안을 제공합니다. 그러나 도둑은 빨리 배우고 유럽과 캐나다에서 칩 카드를 대상으로 하는 완벽한 공격을 수년 동안 했습니다.
마그네틱 스트라이프 판독기 위에 있는 스키머 대신에 쉬머는 카드 판독기 내부 에 있습니다. 이들은 매우 매우 얇은 장치로 외부에서 볼 수 없습니다. 카드를 밀어 넣으면 쉬머가 카드의 칩에서 데이터를 읽습니다. 마치 스키머가 카드의 마그네틱 스트라이프에 있는 데이터를 읽는 것과 같습니다.
그러나 몇 가지 중요한 차이점이 있습니다. 첫째, EMV와 함께 제공되는 통합 보안은 공격자가 스키머로부터 얻을 수 있는 것과 동일한 정보만 얻을 수 있음을 의미합니다. 보안 연구원인 Brian Krebs는 자신의 블로그에서 "일반적으로 카드의 마그네틱 띠에 저장되는 데이터는 칩 기반 카드의 칩 내부에 복제되지만 칩에는 마그네틱 띠에서 찾을 수 없는 추가 보안 구성 요소가 포함되어 있습니다."라고 설명합니다. 이것은 도둑이 EMV 칩을 복제할 수는 없지만 칩의 데이터를 사용하여 자기줄을 복제하거나 그 정보를 다른 사기에 사용할 수 있음을 의미합니다.
우리가 이야기한 Kaspersky 담당자는 칩 카드에 대한 확신이 있었습니다. Kaspersky는 PCMag에 "EMV는 아직 고장나지 않았습니다. "유일하게 성공적인 EMV 해킹은 실험실 조건에 있습니다."
진짜 문제는 쉬머가 희생자 기계 안에 숨겨져 있다는 것입니다. 아래 사진의 쉬머는 캐나다에서 발견되어 RCMP(Internet Archive link)에 보고되었습니다. 얇은 플라스틱 시트에 인쇄된 집적 회로에 불과합니다.
변조 확인
POS 기기의 변조 여부를 확인하는 것은 어려울 수 있습니다. 우리 대부분은 독자들에게 좋은 정보를 제공할 만큼 식료품점에 줄을 오래 서지 않습니다. 도둑이 이 기계를 공격하는 것도 더 어렵습니다. 무인 상태로 두지 않기 때문입니다. 반면에 ATM은 종종 현관이나 야외에서 감시되지 않고 방치되어 더 쉬운 표적이 됩니다.
이 기사의 대부분은 ATM에 대해 설명하지만 주유소, 대중 교통을 위한 지불 스테이션 및 기타 무인 기계도 공격에 취약하다는 점을 명심하십시오. 우리의 조언은 이러한 상황에서도 적용됩니다.
ATM에 접근할 때 ATM 상단, 스피커 근처, 화면 측면, 카드 판독기 자체 및 키보드에서 명백한 변조 징후가 있는지 확인하십시오. 다른 색상이나 재료, 올바르게 정렬되지 않은 그래픽 또는 올바르게 보이지 않는 것과 같이 무언가 다르게 보이는 경우 해당 ATM을 사용하지 마십시오.
은행에 가시면 바로 옆에 있는 ATM을 재빨리 살펴보고 비교해보는 것이 좋습니다. 명백한 차이점이 있는 경우 둘 중 하나를 사용하지 말고 의심스러운 변조를 은행에 보고하십시오. 예를 들어, 한 ATM에 ATM 카드를 삽입해야 하는 위치를 표시하는 깜박이는 카드 항목이 있고 다른 ATM에 일반 슬롯이 있는 경우 문제가 있음을 알 수 있습니다. 대부분의 스키머는 기존 판독기 위에 접착되어 깜박이는 표시기를 가리게 됩니다.
키보드가 너무 두껍거나 중심에서 벗어난 것처럼 느껴지지 않으면 PIN 스내칭 오버레이가 있을 수 있습니다. 사용하지 마십시오. 카메라를 숨길 수 있는 구멍이나 성급한 기계 수술로 인한 접착제 거품과 같은 변조의 다른 징후를 찾으십시오.
시각적 차이가 보이지 않더라도 모든 것을 밀어붙이세요. ATM은 견고하게 제작되었으며 일반적으로 헐거운 부품이 없습니다. 신용 카드 판독기는 더 다양하지만 여전히: 카드 판독기와 같이 돌출된 부분을 잡아 당깁니다. 키보드가 단단히 부착되어 있고 한 조각인지 확인하십시오. 당신이 그것을 밀 때 무엇이든 움직이면 걱정하십시오.
거래에 대해 생각해 보세요
체크카드 PIN을 입력할 때마다 찾는 사람이 있다고 가정합니다. 어깨 너머로 또는 몰래 카메라를 통해 있을 수 있습니다. ATM이나 지불 기계가 괜찮아 보이더라도 PIN을 입력할 때 손을 가리십시오. PIN 획득은 필수입니다. 이것이 없으면 범죄자는 도난당한 데이터로 할 수 있는 일에 제한을 받습니다.
범죄자들은 악의적인 하드웨어를 설치하거나 수집된 데이터를 수집하는 것을 관찰하고 싶지 않기 때문에(항상 예외는 있지만) 지나치게 혼잡한 위치에 있지 않은 ATM에 스키머를 자주 설치합니다. 공격자가 보이지 않는 실외 기계에 접근할 수 있기 때문에 실내 ATM은 일반적으로 실외 ATM보다 사용하기에 더 안전합니다. ATM을 사용하기 전에 중지하고 안전을 고려하십시오.
가능하면 카드의 자기띠를 사용하여 거래를 수행하지 마십시오. 대부분의 결제 단말기는 이제 마그네틱 스트라이프를 대체 수단으로 사용하며 카드를 스와이프하는 대신 칩을 삽입하라는 메시지가 표시됩니다. 신용카드 단말기에서 NFC 거래가 가능한 경우 Apple Pay, Samsung Pay 또는 Android Pay 사용을 고려하십시오.
이러한 비접촉식 결제 서비스는 신용 카드 정보를 토큰화하므로 실제 데이터가 절대 노출되지 않습니다. 범죄자가 어떻게든 거래를 가로채면 쓸모없는 가상 신용 카드 번호만 얻게 됩니다. 일부 삼성 장치는 전화를 통해 자기줄 거래를 에뮬레이트할 수 있습니다. 이 기술을 MST라고 하지만 현재는 중단되었습니다.
종종 자기줄을 사용해야 하는 한 가지 시나리오는 주유소에서 연료비를 지불하는 것입니다. 많은 사람들이 아직 EMV 또는 NFC 트랜잭션을 지원하지 않고 공격자가 눈치채지 않고 펌프에 액세스할 수 있기 때문에 공격이 만연합니다. 안으로 들어가서 계산원에게 돈을 지불하는 것이 훨씬 안전합니다. 근무 중인 계산원이 없는 경우 ATM 사용 시 동일한 요령을 사용하고 카드 리더기를 사용하기 전에 조사하십시오.
편집자 추천
스키머에서 쉬머, E-스키머로
당연히 e-skimming이라는 디지털 방식이 있습니다. 2018년 영국항공 해킹은 분명히 그러한 전술에 크게 의존했습니다.
Bitdefender의 위협 연구 및 보고 이사인 Bogdan Botezatu에 따르면 전자 스키밍은 공격자가 결제 웹사이트에 악성 코드를 삽입하여 카드 정보를 빼내는 것입니다.
"이러한 전자 스키머는 온라인 상점의 관리자 계정 자격 증명, 상점의 웹 호스팅 서버를 손상시키거나 [결제 플랫폼 공급업체]를 직접 손상시켜 소프트웨어의 오염된 복사본을 배포하도록 추가됩니다."라고 Botezatu가 설명했습니다. 이것은 페이지가 진짜라는 점을 제외하고는 피싱 페이지와 유사합니다. 페이지의 코드가 방금 변조되었습니다.
Botezatu는 "e-skimming 공격은 탐지를 회피하는 데 점점 더 능숙해지고 있습니다."라고 말했습니다. "공격자가 이 거점을 더 많이 유지할수록 더 많은 신용 카드를 수집할 수 있습니다."
이러한 유형의 공격에 대처하는 것은 궁극적으로 이러한 상점을 운영하는 회사에 달려 있습니다. 하지만 소비자가 스스로를 보호하기 위해 할 수 있는 몇 가지 방법이 있습니다. 보테자투는 소비자들이 자신의 컴퓨터에서 보안 제품군 소프트웨어를 사용할 것을 제안했는데, 이 소프트웨어는 악성 코드를 탐지하고 정보 입력을 방지할 수 있다고 말했습니다.
또는 가상 신용 카드와 함께 신용 카드 정보를 모두 입력하는 것을 피할 수 있습니다. 실제 신용 카드 계정에 연결된 더미 신용 카드 번호입니다. 하나가 손상되면 새 신용 카드를 받을 필요가 없으며 새 가상 번호를 생성하기만 하면 됩니다. Citi와 같은 일부 은행에서는 이것을 기능으로 제공하므로 사용 가능한지 문의하십시오. 은행에서 가상 카드를 얻을 수 없는 경우 Abine Blur는 유사한 방식으로 작동하는 마스크된 신용 카드를 가입자에게 제공합니다. 일부 웹사이트에서는 Apple Pay 및 Google Pay도 허용됩니다.
또 다른 옵션은 카드 알림에 등록하는 것입니다. 일부 은행에서는 직불카드를 사용할 때마다 휴대전화로 푸시 알림을 보냅니다. 이것은 가짜 구매를 즉시 식별할 수 있기 때문에 편리합니다. 은행에서 비슷한 옵션을 제공하는 경우 켜보십시오. Mint.com과 같은 개인 금융 앱을 사용하면 모든 거래를 쉽게 분류할 수 있습니다.
주의
모든 것을 올바르게 하고 마주치는 모든 지불 기계의 구석구석을 살펴보더라도(뒤에 줄 서 있는 사람들의 억울함을 많이 받음) 사기의 대상이 될 수 있습니다. 그러나 명심하십시오. 최대한 빨리 카드 발급사(신용 카드의 경우) 또는 은행(귀하의 계좌가 있는 경우)에 도난을 신고하는 한 귀하는 책임을 지지 않습니다. 당신의 돈은 반환됩니다. 반면에 비즈니스 고객은 동일한 법적 보호를 받지 못하며 돈을 돌려받는 데 어려움을 겪을 수 있습니다.
또한, 귀하에게 의미가 있다면 신용 카드를 사용하십시오. 차변 거래는 즉각적인 현금 이체이며 때로는 수정하는 데 더 많은 시간이 소요될 수 있습니다. 신용카드 거래는 언제든지 중단 및 취소할 수 있습니다. 그렇게 하면 가맹점이 ATM과 POS(point-of-sale) 단말기를 더 잘 보호해야 한다는 압력을 받게 됩니다. 하지만 신용을 남용하는 것 자체의 함정이 있으므로 주의해야 합니다.
마지막으로 휴대전화에 주의하세요. 은행과 신용 카드 회사는 일반적으로 매우 적극적인 사기 탐지 정책을 가지고 있으며 의심스러운 것을 발견하면 일반적으로 전화나 SMS를 통해 즉시 귀하에게 연락합니다. 신속하게 대응한다는 것은 공격이 사용자에게 영향을 미치기 전에 차단하는 것을 의미할 수 있으므로 휴대전화를 가까이 두십시오.
기억하십시오: ATM이나 신용 카드 리더기에 대해 뭔가 잘못된 것 같으면 사용하지 마십시오. 가능하면 카드의 스트립 대신 칩을 사용하십시오. 귀하의 은행 계좌가 감사할 것입니다.
Fahmida Y. Rashid가 이 이야기에 기여했습니다.