피싱 파밍... 보안카드를 털리면 끝이다

피싱, 파밍?  글이 길지만 대화형으로 좀 알아봅시다

인터넷 뱅킹시스템이 해킹당한다? NO!

지금까지의 인터넷뱅킹 해킹수법이란 것은 인증서와 인터넷 뱅킹시스템 그 자체를 해킹해서 돈을 가져가는 것은 아닙니다. 그게 성공한다면 인터넷 뱅킹의 근간이 무너지는 엄청난 사태이고 헛점을 해결하기 전까진 인터넷 뱅킹 자체가 전면 중지되어야 합니다. -_- 그런 사태는 아직까지 없었던 걸로 압니다

그럼 뭘 해킹한다는건데?

진정한 계좌 주인이 하는 방법과 동일한 방법으로 도둑놈이 

뱅킹에 접속해서 '출금 절차를 그대로 따라서' 돈을 빼 가는 겁니다.

꼼수를 써서 인증서와 보안카드 둘을 입수하거나 재 발행하고,  그것을 당당히? 사용해서 은행인터넷 뱅킹이 요구하는 절차를 수행하는거죠

응? 그게 가능해? 가능하니까 사건이 나고 신문에 나오는겁니다 ㅠ

내가 할 수 있는건 도둑놈도 다 따라할 수 있다?

네. 그런 생각을 가져야 합니다. 실제 계좌가 털린 피해를 보면 도둑놈들은 

정당한 계좌 주인이 인출하는방법을 그대로 따라서 인출을 해 간거죠.

도둑놈도 버젓이 나의 공인인증서를 재발급 받을수있다?

맞습니다.

1. 나의 주민번호와 이름 이메일주소 조합   한국인의 이름과 주민번호 조합정보는 이미 모두가 아는 정보라고 합니다.      한두번이 아니라 수십번은 털려서 이미 데이터베이스화 되어서 딴 나라에서 쉽게 거래되고 있답니다.

2. 나의 인터넷 뱅킹 아이디와 입출계좌번호   털리면 안됩니다. 하지만 악성코드에 의해 키보드가 감시되고 있다면 털리는건 시간문제입니다   털린다는걸 가정하면, 포털용 아이디(즉 이메일주소)와 뱅킹아이디는 전혀 유사성이 없는것이 좋습니다

3. 보안카드 일련번호와 35개의 번호조합   결국 최종적으로 도둑놈이 입수해야 될 정보가 이겁니다.   보안카드 숫자는  사용자가 이체/신규/해약 등의 조작을 할때  35개의 앞자리중 하나 + 35개의 뒷자리중 하  나의 조합을 입력하는데, 이것을 '장기간' 관찰하면 '상당수' 의 조합을 빼낼수 있습니다. 더 오래 관찰하면 '완전체' 세트를 빼낼수 있습니다

1,2,3 을 알면  '진짜 주인'이 인증서 분실재발급, 갱신발급받는거랑 똑같이  도둑놈이 pc방 컴에 앉아서 인증서를 재발급 받을수 있습니다.

하지만 어떤 홍길동씨의  '완전체' 번호세트를 빼내자고 1년이고 3년이고 죽치고 기다릴순 없겠죠?

더구나 진짜 주인인 홍길동씨가 기껏해야 1년에 두세번 이체를 할 뿐이라면? 

35개의 앞번호, 35개의 뒷번호를 다 수집하는데는 100년이 걸릴지도 모르죠. 그 전에 키보드해킹 코드를 침투시킨  컴퓨터 자체를 홍길동씨가 처분하고 새컴으로 바꿀 것입니다. 

그래서 여러가지 속임수로 보안카드 번호세트를 한/번/에 탈취하려고 하는 것입니다. 가짜 사이트로 유도한 다음 '보안승급' 운운하면서 35개를 한번에 뱉어내라고 도둑놈이 진짜 주인을 꼬시는 것이죠

그런데 35개의 보안카드 숫자세트를 다 입력하라는.. 

그런 말도안되는 지시를 따라서 하는 사람이 있긴 있어?

호갱님~ 긴급사항이어요~  보안승급을 위하여 보안카드 문자 35세트 전체를   아래의 빈 칸에 하나 하나 입력하세용~ ^^

'응?  은행이 내게 건네준 보안카드인데  지들이 왜 나한테 35개를 다 입력하라구 하징?'

이런 근본적인 의문을 가질 필요가 있습니다만..

실제 피해사례 뉴스들 보면 피해자는 그 작은 숫자들를 열심히 하나하나 도둑놈을 위해서 입력 했습니다. 그래서 피해가 발생한거죠

사람들은 모니터 화면 = 웹사이트 표출된 글씨 = 공적 표현물 = 검증되고 공인된 문구 = 사실 = 진실의 소리라고 믿는 경향이 있습니다.  특히나 보안카드의 의미를 제대로 이해하지 못하는 고령층 뱅킹이용자의 경우  은행을 위해 하나의 조합을 입력하는거랑 35개를 한번에 입력하는거랑 무슨 차이가 있는지를 이해하지 못하고 있을 가능성이 높습니다.

은행창구에서 보안카드가 뭔지 충분히 설명해주지 않나?

지금까지 8-9장의 보안카드를 수령해 봤지만,  '잘 보관하세요' 정도의 멘트만 들어봤습니다. 거의다 아무말 없이 건네줍니다.

노년층, 중장년층에겐 이 숫자 조합의 풀세트를 누군가에게 불러주는 순간, 보안은 무력해진다 라는 사실을 충분히 이해시키는 금융기관의 노력이 필요한데, 뭐 아직까진 그렇지 않은 것 같습니다.

도둑놈이 가짜사이트로 꼬실 필요도 없이 

보안카드를 알아서 상납해주는 '착한 주인' 도 있다?

네 있습니다. 

홍길동씨 : 은행별로 받은 보안카드만 5~6 개. 지갑을 불룩하게 만들어. 자주 쓰지도 않는데.. 에잉 역시 편리하게 스캔해서 컴퓨터속 나만의 비밀 디렉토리에 넣어둬야지 ㅎㅎ  홍길순양 : 나는 스마트폰 뱅킹 마니아.. 보안카드도 폰카로 예쁘게 찍어서 겔러리에 보관!

편리하겠죠. 악성코드가 디렉토리와 겔러리를 스캔하면 .. 35개의 숫자를 빼내기도 매우 편리합니다.  궂이 파밍사이트로 초대할 필요도 없이 감사히 빼내갈수있습니다.

하지만, 나는 건전한인터넷생활을 하는데?

악성코드 따윈 걸릴 일이 없어.  

개인이 PC 나 스마트폰 관리를 잘~ 하면  악성코드 설치를 막을수있다?  NO.

내 PC 나 스마트폰이 악성코드로 부터 안전하다고 확신할수 있는 시기는 매우 한정적입니다.

PC 의 경우  랜 선을 뽑고, 하드를 포멧한 후에, 윈도를 새로 깐 이후부터  랜선을 꽂고 미지의 사이트에 접속하기 전까지 입니다.

스마트폰의 경우 새 폰을 배송받고  인터넷에 접속하기 전까지입니다.

그 이후에는 신문이나 방송에서 말하는  '조심하라. 의심스런 앱은 설치하지 마라. 의심스런 사이트는 접속하지 마라. 의심스런 이메일은 열어보지 마라.' 를 충실히 지킨다 해도 악성코드 감염으로부터 안전하다고 장담할수는 없습니다.  의심스런? 이란 말 자체가 애매하니까요.  충분히 유명한 앱, 남들이 다 가는 대형사이트도 해킹이나 앱 작성시의 취약점에 의해 의도치않은 악성코드 유포자가 될수 있습니다.

계좌 안털리게 이것만은 지키자.

1. 은행사이트가 35개의 번호를 요구하면 가볍게 웃으며 창을 꺼버린다      - 네 가짜사이트에 속아서 접속하셨습니다. 도둑이 요구하고 있는 것입니다.  2. 보안카드는 인터넷 및 전자기기와 물리적으로 단절,분리해야 합니다.     - 스캔해서 컴퓨터 디렉토리에 보관 (x)     - 폰카로 찍어서 스마트폰속에? (x)     - 넷하드나 클라우드에 안전하게 보관? (x)  3. 이체가 빈번한 뱅킹이용자라면 보안카드는 주기적으로 새걸로 바꿉니다.    - 하루 몇건씩의 이체를 한다면  앞35개 + 뒤35개 중 상당부분은         1년도 안되어 파악될수있습니다.

은행 증권사 보안카드가 합해서 10장인데 이걸 방에 두기도 불안하고 지갑은 터질듯 뚱뚱한데 어디다 둬야하나

한다면  모아 모아서 프린트후 코팅.. 얇게 만들수 있습니다.  아무리 귀찮아도 컴에는 넣지 맙시다.

이 바보야. 너도 그거 스캔해서 포토샵으로 합치고 프린트하는 동안 보안카드 8장 다 털렸어!

맞습니다.  이런 편집은  맘먹고 컴퓨터 포멧하기로 한날 ... 랜선 뽑고 조용히 하는겁니다. 그리고 포멧.