SMS해킹을 통한 Gmail / Chrome브라우저 해킹 주의!

1월21일 토요일 부터 쉬어야 할 주말에 엄청난 일들이 벌어졌다. 덕분에 커뮤니티의 많은 피해자들이 제대로 쉬지도 못하고, 이번 해킹건을 추적하였다.

사건의 개요는 다음과 같다.

 

2017년 1월 21일 , 커뮤니티 (ddengle.com) 에서 몇명이 자신의 gmail 계정이 해킹되었음이 Report 되었다.

필자 또한, 피해자로서 내 계정도 해킹되어 있었다. 또한, 업무상 여러대의 전화를 사용하는 필자의 휴대폰으로 위의 gmail 계정과 같은 접속 email 및 OAUTH 연동 사이트의 해킹 시도가 있었고 해킹당한 계정과 다른 전화로 복구 전화번호를 등록해 놓은곳에는 여러번의 해킹 시도가 나온다.

사진에서, 1월22일 오후 11:08 이때는 내가 여러 gmail 계정을 보완을 강화하기 위해서 수정한 흔적이고,

“오늘 gmail 해킹시도한것” 은 자주 안쓰는 계정중 연결된 계정을 해킹하려고 시도한 내역이다.

 

다른 전화로 확인된 해킹흔적

 

이는 비밀번호 복구 및 계정 보안을 위해서 휴대폰 번호를 등록해서 문자 확인하는 서비스를 말한다.

해커는 커뮤니티 사이트 및 SMS 문자를 발송하는 서비스를 해킹하고, 문자를 가로채어서 필자 및 피해자의 Google 계정및 Naver / Daum / FaceBook 등의 사이트를 탈취하고자 한것이다.

 

본인의 페이스북 계정을 해킹하고자, 시도한 내용.

 

또한, 암호코인 커뮤니티 특성상, BitCoin 및 Ethereum 등의 코인을 보유하고, 이 거래소 사이트의 접속시 email 로 gmail 등을 쓰는 상황을 노리고, 해킹을 수행하였다.

커뮤니티에서는 처음에 Chrome Autofill 및 password 자동기입 로긴 과 SMS hijack malware 를 의심하였다.

[ddengle.com 안씨아저씨 글]

[ddengle.com 로움 (loum) 글]

이때, 파악한 단서는 Chrome Autofill 및 자동로그인 기능을 쓴다.

또한, SMS 가 Hijack 되었다는 것이다.

그후, 본인의 Paypal 계정에서 100USD 가 이상한 수신자로 결제 되었고, 이에 카드사에 결제정지 및 피싱신고를 하였을때, 상담중 본인확인 문자를 SPAM 필터 프로그램이 가로채었음이 확인되었다.

스팸메시지 함으로 들어가서, 본인의 인증정보를 가로챈 내용을 보면 된다.

1,2번째 줄은 필자의 다른 gmail 계정을 해킹하기 위해서 이고,

3~4, 번째 줄은 본인이 카드회사에 사고 접수하고, 본인인증 상담을 하던 내용이다.

6번째 줄은 Paypal 본인계정 해킹으로 결제된 내역을 알리지 않게 막은 내용이다.

물론, Paypal 에서 수수료 및 100USD 결제는 따로 필터링 되지 않고, 정상 수신되었다.

필자가 U+ 알뜰폰 회사 고객센터에서 스팸필터 서비스 중지를 하였을때도,

2~3분후 자동으로 스팸필터 서비스가 등록되었다.
이 데이터는 U+ 스팸서비스 서버에서 불러오는것으로 알고있다.

스팸메시지 함으로 들어가서, 본인의 인증정보를 가로챈 내용. 이 데이터는 U+ 스팸서비스 서버에서 불러오는것으로 알고있다.

 

U+ 스팸차단 서비스 해제후, 자동 서비스 등록 (U+ SMS시스템의 이상) 고객센터 직원도 황당! (U+ 알뜰폰 회사임)

 

이상한 동작의 U+스팸차단 앱

 

커뮤니티에서도 특정 통신사의 서비스를 쓰는 사람들이 명백하게 피해를 당하였고, 국내 코인 거래소 사이트에서 상담사가 전화가 와서 U+ 이외에도 일부 보고가 되고 있다. 아직 완전한 확인은 되지 않은 상황이다.

현재 본 해킹사건의 주요 원인중 하나는 SMS 스팸필터서비스가 해킹당하여, 피해자의 SMS인증코드를 훔쳐간것이 가장 중요 문제이다.

 

현재 까지 나온 사례로, 대응방안을 말하자면 다음과 같다.

  1. SMS Spam 필터 서비스 를 해지하라.
  2. 기존 gmail 및 구글및 서비스의 비밀번호를 모두 바꾸라.
  3. 휴대폰에서 Google gmail 및 Chrome 등의 자동접속 , 비밀번호 저장기능을 꺼라.
  4. 동기화 기능을 중단하라.
  5. 문제가 된 휴대폰이 있는경우, 데이터 및 Wifi 접속은 꺼놓고, 휴대폰과 문자만 되게 하고,
    필요할때만 데이터를 연결하라.
  6. 자료 및 데이터 백업이 완료되면, 공장초기화를 하라.

그외에, 해커가 어떻게 개인의 email 정보 및 구글 chrome autofill 등의 기능을 원격으로 사용했을지에 대해서는 짐작하는 부분은 있지만, 조사중이다.

향후에, 좀 더 진척된 정보가 있게되면 다시 올리겠습니다.

 

 

 

Short URL: https://is.gd/Vkc0Kf

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다

This site uses Akismet to reduce spam. Learn how your comment data is processed.