Hackers Conceal NFC Carders Behind Apple Pay and Google Wallet
Hackers Conceal NFC Carders Behind Apple Pay and Google Wallet
In a disturbing evolution of financial fraud, cybercriminals are leveraging advanced techniques to exploit mobile payment systems.
gbhackers.com
- 모바일 결제 기술 악용 수법 개요
- 범죄자는 Apple Pay, Google Wallet 등 모바일 지갑을 이용해 탈취한 카드 정보를 연결하여 비접촉식 결제 사기 실행
- NFC(근거리 무선 통신) 기능을 활용한 실시간 카드 릴레이 공격을 통해 ATM 인출·고급 상품 구매 등 자금 세탁 시도
- 기존 자기띠 카드 복제 방식에서 디지털 지갑 연동 및 정교한 NFC 악용 방식으로 진화
- 카드 연동 방식과 피싱 기법
- 피싱 사이트 제작
- 택배, 온라인 쇼핑몰, 공공기관 웹사이트를 사칭한 가짜 페이지 운영
- OTP 인증 포함 카드 정보를 입력하도록 유도
- 디지털 지갑에 도난 카드 연결
- 공격자는 실시간으로 탈취한 정보를 Apple Pay, Google Wallet 등에 연결
- 전용 도구로 카드 정보 포맷을 변환해 NFC 기반 결제에 사용 가능하도록 조작
- 사기 인프라 운영
- 사전 구성된 스마트폰 다수를 구매해 지갑 연동 후 유통
- 카드 하나로 다수의 디지털 지갑 생성 및 판매 가능
- 피싱 사이트 제작
- NFC 릴레이 및 고스트탭(Ghost Tap) 기법
- NFC 릴레이 앱(NFCGate 등)을 사용해 실제 카드 없이도 원거리 결제 가능
- 공격자 본체는 카드 데이터 전송만 수행하고, '대리 실행자(mule)'는 물리적 결제를 수행
- 결제 장소, 카드 소유자, 거래 내역을 분산시켜 추적 방지 및 익명성 확보
- 소셜 엔지니어링을 통한 최신 공격 방식
- 정부·은행·공공기관 앱으로 위장한 악성 앱 설치 유도
- 사용자가 NFC 카드 태깅하도록 유도하고 카드 정보 및 PIN 코드 탈취
- 피해자를 ATM으로 유인해 “안전 계좌 이체” 유도 후 공격자가 NFC 릴레이로 자금 전송 조작
- 보안 권고
- 기술적 대응
- 생체 인증 기반 결제 요구
- 거래 위치 기반 인증 도입
- 결제 승인 시 실시간 알림 및 이중 확인
- 사용자 보안 수칙
- 온라인 결제 시 가상카드(virtual card) 사용
- 공식 마켓 외 앱 설치 금지
- 모바일 보안 솔루션 설치 및 피싱 탐지 설정
- 의심스러운 금융앱, 결제 요청, 문서 요구 시 즉시 중단 및 검증
- 기관 및 플랫폼 측 대응
- Apple, Google 및 금융기관은 디지털 지갑 연동 프로세스에 강화된 KYC 인증 절차 도입 필요
- 악성 앱 탐지 및 배포 차단 위한 스토어 감시체계 강화
- 기술적 대응
- 결론
- 스마트폰은 이제 범죄자의 금융 사기 도구로도 진화하고 있음
- 디지털 지갑의 편의성과 보안 간 균형을 확보하기 위한 정책·기술·교육적 대응이 절실
- NFC 기반의 공격은 탐지 어렵고 지리적 분산성이 높아, SIEM 기반의 정밀 탐지와 사용자 보안 인식 제고가 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 광주교육청 공문을 통한 개인정보 노출 사례 분석 (0) | 2025.05.25 |
|---|---|
| 개인정보보호법 위반 사업자 제재 사례 분석 (0) | 2025.05.25 |
| 금융권의 자발적 ISMS-P 인증 확대 배경과 시사점 (0) | 2025.05.25 |
| 패스트 플럭스(Fast Flux) 기술 분석 및 보안 대응 방안 (0) | 2025.05.25 |
| 챗GPT 이미지 생성 기능을 악용한 여권 위조 사례와 금융 인증 위협 분석 (1) | 2025.05.25 |