SIM 스와핑

SIM 스와핑^[1]은 계정 탈취 사기의 일종으로, 일반적으로 휴대폰 문자 메시지(SMS)나 전화 통화를 인증 방식으로 사용하는 2단계 인증의 취약점을 노린다.

방법

이동통신 서비스 제공자가 다른 SIM 카드가 장착된 기기로 일반적으로 휴대폰을 분실하거나 도난당했을 때, 또는 고객이 새 휴대폰으로 서비스를 변경할 때 번호 이동 기능을 악용한다.

수법은 공격자가 피싱 이메일을 사용하거나 조직범죄자로부터 구매하거나^[2] 피해자를 직접 사회공학 수법을 통하거나^[3] 온라인 상에 유통되는 유출된 데이터에서 추출하는 방법^[4] 통해 피해자의 개인 정보를 수집하는 것으로 시작된다.

보통 공격자는 피해자의 개인정보를 활용해 피해자를 사칭하고 통신 서비스 제공업체의 기술 지원 서비스에 연락해 피해자의 전화번호를 공격자의 SIM 카드에 이동시키도록 설득하려고 시도한다.^[5][6] 하지만 통신회사 직원이 공격자에게 뇌물을 받아 SIM 번호를 직접 변경하는 경우도 있는데,^[7][4] 공격자는 소셜 미디어나 직원 디렉토리를 통해 T-모바일 및 버라이즌 등 통신사 직원에게 연락해 암호화폐를 지불하는 대가로 번호 이동을 요구하기도 했다.^[8][9]

이런 일이 발생하면 피해자의 휴대폰은 네트워크 연결이 끊기고, 사기범은 피해자에게 오도록 되어 있는 모든 문자 메시지와 음성 통화를 가로챈다. 이를 통해 사기범은 피해자의 번호로 전송되는 일회용 비밀번호를 가로챌 수 있으며, 이를 이용하는 2단계 인증 방식을 무력화시킨다. 워낙 많은 서비스가 복구 전화번호에만 접근해도 비밀번호 재설정을 허용하기 때문에, 이 사기를 통해 범죄자들은 탈취된 번호에 연결된 거의 모든 계정에 접근할 수 있게 된다. 이는 그들이 은행 계좌에서 자금을 직접 이체하거나 정당한 소유자를 갈취하고, 신분 도용을 위해 암시장에서 계정을 판매할 수도 있다.