2단계 인증(2FA)은 더 이상 완벽한 보안이 아닙니다. 삽화

새로운 공격 형태

2단계 인증(2FA)은 사이버 보안의 표준 보안 기능이 되었습니다. 이 양식을 사용하려면 사용자가 일반적으로 문자 메시지, 이메일 또는 인증 앱을 통해 전송되는 일회용 비밀번호(OTP)인 두 번째 인증 단계를 통해 신원을 확인해야 합니다. 이러한 추가적인 보안 계층은 비밀번호가 도난당한 경우에도 사용자 계정을 보호하기 위한 것입니다.

2FA는 많은 웹사이트에서 널리 채택되고 기업에서 요구하고 있지만 최근 카스퍼스키 사이버보안 전문가들은 사이버범죄자들이 2FA를 우회하기 위해 피싱 공격을 사용하는 것을 발견했습니다.

이에 따라 사이버 공격자들은 피싱과 자동화된 OTP 봇을 결합해 사용자를 속이고 불법적으로 계정에 접근하는 보다 정교한 형태의 사이버 공격으로 전환했습니다. 구체적으로, 사기꾼은 사용자를 속여 OTP를 공개하도록 하여 2FA 보호를 우회하도록 합니다.

사이버범죄자들은 ​​피싱과 자동화된 OTP 봇을 결합하여 사용자를 속여 계정에 무단으로 접근합니다. 삽화

심지어 사기꾼들은 정교한 도구인 OTP 봇을 사용해 사회 공학적 공격을 통해 OTP 코드를 가로채기도 합니다. 따라서 공격자는 피싱이나 데이터 취약성을 악용하는 등의 방법을 사용하여 피해자의 로그인 정보를 훔치려고 하는 경우가 많습니다. 그런 다음 피해자의 계정에 로그인하여 피해자의 휴대전화로 OTP 코드를 전송합니다.

다음으로, OTP 봇은 신뢰할 수 있는 조직의 직원인 것처럼 가장하여 피해자에게 자동으로 전화를 걸어, 미리 프로그래밍된 대화 스크립트를 사용하여 피해자에게 OTP 코드를 공개하도록 설득합니다. 마지막으로 공격자는 봇을 통해 OTP 코드를 받고 이를 사용하여 피해자의 계정에 무단으로 접근합니다.

사기꾼은 문자 메시지보다 음성 통화를 선호하는데, 피해자가 음성 통화에 더 빨리 반응하기 때문입니다. 따라서 OTP 봇은 통화에서 인간의 톤과 긴박감을 흉내내어 신뢰감과 설득력을 조성합니다.

사기꾼은 특수 온라인 제어판이나 Telegram과 같은 메시징 플랫폼을 통해 OTP 봇을 제어합니다. 이러한 봇은 다양한 기능과 구독 패키지를 제공하므로 공격자가 활동하기가 더 쉽습니다. 이에 따라 공격자는 봇의 기능을 사용자 정의해 조직을 사칭하고 여러 언어를 사용하고 심지어 남성이나 여성 음성 톤을 선택할 수도 있습니다. 또한, 고급 옵션으로는 전화번호 스푸핑이 있는데, 이는 발신자의 전화번호를 합법적인 기관의 번호인 것처럼 보이게 만들어 피해자를 교묘히 속이는 것을 목표로 합니다.

기술이 발전함에 따라 계정 보호는 점점 더 중요해지고 있습니다. 삽화

OTP 봇을 사용하려면 사기꾼이 먼저 피해자의 로그인 자격 증명을 훔쳐야 합니다. 이들은 종종 은행, 이메일 서비스 또는 다른 온라인 계정의 합법적인 로그인 페이지와 똑같이 보이도록 설계된 피싱 웹사이트를 사용합니다. 피해자가 사용자 이름과 비밀번호를 입력하면 사기꾼은 자동으로 이 정보를 즉시(실시간) 수집합니다.

2024년 3월 1일부터 5월 31일까지 카스퍼스키 보안 솔루션은 은행을 타깃으로 하는 피싱 키트가 만든 웹사이트 방문 653,088건을 차단했습니다. 이러한 웹사이트에서 도난당한 데이터는 종종 OTP 봇 공격에 사용됩니다. 같은 기간 동안 전문가들은 2단계 인증을 실시간으로 우회하기 위한 툴킷을 사용해 만들어진 피싱 웹사이트 4,721개를 발견했습니다.

일반적인 비밀번호를 만들지 마세요

카스퍼스키의 보안 전문가 올가 스비스투노바는 "소셜 엔지니어링 공격은 특히 서비스 담당자의 전화를 합법적으로 시뮬레이션할 수 있는 OTP 봇이 등장하면서 매우 정교한 사기 수법으로 간주됩니다. 경계를 유지하려면 주의를 기울이고 보안 조치를 준수하는 것이 중요합니다."라고 말했습니다.

해커는 똑똑한 추측 알고리즘을 사용해 쉽게 비밀번호를 알아냅니다. 삽화

카스퍼스키 전문가들이 6월 초에 스마트 추측 알고리즘을 사용하여 1억 9,300만 개의 비밀번호를 분석한 결과, 이는 정보 도둑에 의해 다크넷에서 해킹되어 판매된 비밀번호였으며, 그중 45%(8,700만 개의 비밀번호에 해당)가 1분 이내에 성공적으로 해독될 수 있는 것으로 나타났습니다. 비밀번호 조합 중 23%(4,400만 개)만이 공격을 견딜 수 있을 만큼 강력한 것으로 간주되며, 이러한 비밀번호를 해독하는 데는 1년 이상 걸립니다. 하지만 남아 있는 비밀번호의 대부분은 1시간에서 1개월 이내에 해독될 수 있습니다.

또한, 사이버 보안 전문가들은 사용자가 비밀번호를 설정할 때 가장 일반적으로 사용되는 문자 조합을 공개했습니다. 이름: "ahmed", "nguyen", "kumar", "kevin", "daniel"; 인기 단어: "영원히", "사랑", "구글", "해커", "게이머" 표준 비밀번호: "password", "qwerty12345", "admin", "12345", "team".

분석 결과, 비밀번호 중 불과 19%만이 사전에 없는 단어, 소문자와 대문자, 숫자, 기호를 포함한 강력한 비밀번호로 구성된 것으로 나타났습니다. 동시에 이 연구에서는 강력한 비밀번호 중 39%는 스마트 알고리즘을 통해 1시간 이내에 추측이 가능하다는 사실을 발견했습니다.

흥미로운 점은 공격자가 비밀번호를 해독하는 데 전문적인 지식이나 고급 장비를 가질 필요가 없다는 것입니다. 예를 들어, 전용 노트북 프로세서는 무차별 대입 공격을 통해 단 7분 만에 8글자 또는 소문자로 구성된 비밀번호 조합을 정확하게 알아낼 수 있습니다. 게다가 통합 그래픽 카드는 동일한 작업을 17초 만에 처리할 수 있습니다. 또한, 스마트 비밀번호 추측 알고리즘은 문자("e"를 "3", "1"을 "!", "a"를 "@"로 대체)와 일반 문자열("qwerty", "12345", "asdfg")을 대체하는 경향이 있습니다.

해커가 추측하기 어렵게 하려면 무작위 문자열로 구성된 비밀번호를 사용하세요. 삽화

"사람들은 무의식적으로 매우 간단한 비밀번호를 만드는 경향이 있으며, 종종 모국어의 사전 단어, 예를 들어 이름과 숫자를 사용합니다... 강력한 비밀번호 조합조차도 이 추세에서 벗어나는 경우가 드물기 때문에 알고리즘에서 완전히 예측할 수 있습니다." 카스퍼스키의 디지털 발자국 인텔리전스 책임자인 율리아 노비코바의 말입니다.

따라서 가장 신뢰할 수 있는 솔루션은 현대적이고 신뢰할 수 있는 비밀번호 관리자를 사용하여 완전히 무작위 비밀번호를 생성하는 것입니다. 이러한 애플리케이션은 대량의 데이터를 안전하게 저장할 수 있어 사용자 정보를 포괄적이고 강력하게 보호합니다.

비밀번호의 강도를 높이려면 사용자는 다음과 같은 간단한 팁을 적용할 수 있습니다. 네트워크 보안 소프트웨어를 사용하여 비밀번호를 관리하세요. 다른 서비스에 대해서는 각기 다른 비밀번호를 사용하세요. 이렇게 하면 계정 중 하나가 해킹당하더라도 다른 계정은 여전히 ​​안전합니다. 암호문구는 사용자가 비밀번호를 잊어버렸을 때 계정을 복구하는 데 도움이 됩니다. 덜 흔한 단어를 사용하는 것이 더 안전합니다. 또한, 온라인 서비스를 사용하여 비밀번호의 강도를 확인할 수도 있습니다.

생일, 가족 이름, 반려동물 이름, 별명 등 개인정보를 비밀번호로 사용하지 마세요. 이는 공격자가 비밀번호를 해독할 때 가장 먼저 시도하는 옵션입니다.