최근 인터넷 뱅킹 거래를 인증하는데 사용되는 일회용 패스워드(OTP)를 깨는 사기공격이 발견되었다.
 
사이버 범죄자는 모바일 단말기의 주인처럼 행세하며 모바일 단말기를 잃어버렸다고 신고한다.
 
그래서 금전 거래를 할 수 있도록 하는 SIM 카드를 획득한다. 이 공격은 '소셜 엔지니어링' 공격으로 통신사들이 악당에게 속아서 인증정보를 발급하는 것이다.
 
일부 은행은 거래를 인증하기 위해 OTP를 고객의 모바일 단기기로 보낸다.
 
공격자는 고지(Gozi) 트로이목마 프로그램 변종을 이용해 사용자를 속여 사용자의 모바일 단말기의 국제 모바일 장비 인식번호(IMEI)를 알아낸 후 새로운 SIM 카드를 획득한다.
 
<참고사이트>
-www.computerworld.com/s/article/
[정보제공. 2012. 3. 15. SANS Korea / www.itlkorea.kr]