2요소인증 SMS를 요구하는 'SMS 트래픽 펌핑 사기'
휴대전화 사업자를 거친 통화가 이루어졌을 때는 착신처 사업자는 발신원 사업자에게 접속료를 청구합니다. 이 구조를 악용하는 행위를 '트래픽 펌핑'이라고 부르고, 음성통화 무제한 서비스가 부정하게 이용되는 경우가 많은데, 최근 'SMS 트래픽 펌핑 사기'라는 새로운 수법이 발견된 것으로 보고되었습니다.
SMS Traffic Pumping Fraud – Twilio Support
https://support.twilio.com/hc/en-us/articles/8360406023067-SMS-Traffic-Pumping-Fraud
SMS Fraud Takes A Toll: The Evolving Threat of SMS Pumping and Toll Fraud - Security Boulevard
https://securityboulevard.com/2023/07/sms-fraud-takes-a-toll-the-evolving-threat-of-sms-pumping-and-toll-fraud/
SMS Fraud Takes A Toll: The Evolving Threat of SMS Pumping and Toll Fraud
After a crack down on SMS fraud, adversaries have shifted their approach.
securityboulevard.com
트래픽 펌핑의 기초에 있는 것은 통신사업자들 사이에서 교환되는 연결료로 전화를 받은 쪽은 무료로 통화하는 것처럼 보이지만 실제로는 비용이 발생하고 통신사업자는 발신자로부터 회수하고 있습니다.
트래픽 펌핑 사기의 과정을 살펴보면 먼저 범죄그룹이 음성통화 무제한 서비스를 계약한 전화번호를 여러 개 준비합니다. 다음에 그 전화번호를 이용해 다른 통신사업자가 관리하는 전화번호에 대량의 통화를 실시합니다. 그 때 수동으로 전화를 거는 것은 아니고 봇 등이 사용된다는 것.
통화를 대량으로 받은 통신사업자는 발신측의 통신사업자로부터 시간에 따른 다액의 접속료를 받을 수 있으며 그 일부를 인센티브로 범죄그룹에 제공합니다. 즉, 범죄그룹과 착신측의 통신사업자가 결탁해 접속료 수익을 얻는 수법입니다. 또 이 결탁은 불법행위인 접속료의 과다청구에 관한 수사나 적발을 회피 가능하게 됩니다.
언뜻 보면 일반사용자에게는 아무런 피해나 영향도 없는 것처럼 보이지만 트래픽 펌핑이 증가하면 업무나 수익에 지장을 초래할 우려가 있어 결과적으로 음성통화 무제한 서비스의 가격 인상 등이 이루어집니다.
도난당한 휴대전화가 트래픽 펌핑에 악용되었다는 유저는 “SIM 카드가 잠기는 10시간 사이 도둑은 알제리의 전화번호에 대해 100시간분 상당한 고액의 음성통화를 하여 합계로 1만 달러(약 1400만 원)의 피해가 발생했다”고 보고했습니다.
최근에는 음성통화를 이용한 트래픽 펌핑뿐만 아니라 'SMS 트래픽 펌핑 사기'라는 새로운 사기기법이 보고되었습니다.
SMS 트래픽 펌핑 사기에는 프리미엄 가격이 포함된 전화번호가 사용됩니다. 통화 중에 발신자에게 할증요금을 청구하는 전화번호로 이 번호의 대부분은 채팅 및 성인사이트에서 사용됩니다. 발신자 측이 추가로 지불한 통화료는 통신사업자뿐만 아니라 채팅이나 성인사이트를 운영하는 사업자에게도 지급됩니다.
범죄그룹은 이 전화번호를 자신의 전화번호로 설정한 후 SMS를 전송하는 서비스를 검색해 이 때 2요소인증에 SMS를 사용하는 기업이 표적으로 선정됩니다.
범죄그룹이 사용자로 위장해 이중인증을 수행하면 인터넷서비스는 대상 전화번호로 SMS를 보냅니다. 프리미엄 가격으로 할증된 SMS의 전송요금은 인터넷 서비스에 청구되며, 돈은 사기 그룹에 지불됩니다. 이 메커니즘을 악용하여 업자는 봇계정을 만들고 대량으로 SMS를 요청하고 SMS의 전송료를 서비스업자에게서 훔친다는 것.
한 번이라도 SMS 트래픽 펌핑 사기가 성공하면 범죄그룹은 사용하는 전화번호를 정기적으로 변경하여 SMS 요청을 반복합니다. 또 다른 표적에서 기능한 것과 같은 수법을 사용해 소지하는 리스트내의 다른 표적으로 공격을 확대한다고 합니다.
일런 머스크 씨는 2023년 2월에 "트위터는 연간 6000만 달러의 SMS 트래픽 펌핑 사기 피해를 보고 있다"고 보고했습니다.
SMS 트래픽 펌핑 사기는 범죄그룹이 사용하는 통신사업자가 일련의 사기에 가담하고 그룹과의 인센티브 분배계약을 맺고 있거나 통신사업자가 범죄그룹에 의해 의도 없이 사기에 악용되고 있다는 2가지의 시나리오가 추정되고 있습니다.
SMS 트래픽 펌핑 사기의 피해를 받고 있는지 확인하는 방법으로 클라우드 커뮤니케이션 플랫폼을 배포하는 Twilio는 +1111111110, +1111111111, +1111111112, +1111111113 등 인접한 전화번호가 급증했다면 SMS 트래픽 펌핑 피해를 의심할 것이라고 조언했습니다.
SMS 트래픽 펌핑 사기를 방지하는 수단으로 Twilio는 부정 방지 가드를 활성화하고 의도하지 않은 국가로부터 SMS 수신을 무효화하며 초당 1통 이상의 SMS를 수신하지 않는 등의 조치를 제안했습니다.