연구(Insikt)

연간 결제 사기 인텔리전스 보고서: 2022년

게시일: 2023년 1월 17일

작성자: Insikt Group®

편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 2022년 결제 카드 사기 환경에 대한 트렌드와 지표를 제공하며, 가장 자주 유출되거나 악용되는 테스터 판매자를 식별합니다. 이 보고서의 대상은 금융 기관 및 판매자 서비스 회사의 사기 및 사이버 위협 인텔리전스(CTI) 팀입니다.

Executive Summary

2022년은 시스템 충격의 해였으며, 결제 카드 사기 시장도 무사히 살아남지 못했습니다. 러시아의 사이버 범죄 단속과 곧바로 이어진 2022년 2월 우크라이나의 본격적인 침공으로 인해 올해 남은 기간 동안 카드 사용량이 감소했습니다. 2022년에는 총 4,560만 개의 CNP(카드 미발급) 카드와 1,380만 개의 CP(카드 발급) 결제 카드 기록이 다크웹에 판매용으로 게시되었습니다. 이 수치는 2021년에 판매된 6천만 개의 CNP와 3천 6백만 개의 CP 레코드에 비해 상당히 낮은 수치입니다. 이러한 공급, 수요, 매출 감소를 종합하면 2022년 결제 카드 사기 시장과 위협 환경은 다음과 같이 정의할 수 있습니다.

그럼에도 불구하고 카드 사기 시장과 이를 채우고 있는 위협 행위자들은 놀라운 회복력을 보여주었습니다. 마그카트 공격자들은 가짜 결제 카드 양식을 사용하고, 합법적인 판매자 웹 인프라를 악용하여 전자 스키머를 배포하고, HTTP 참조 헤더를 사용하여 보안 분석가의 문제 해결을 방해하는 캠페인을 시작했습니다. 이러한 캠페인 중 하나는 두 개의 온라인 주문 플랫폼이 침해당하는 결과를 가져왔는데, 이는 플랫폼을 사용하는 판매자가 침해 위험에 노출되는 최신 수법입니다. 한편, 유명 판매자들은 도난당한 카드의 유효성을 확인하기 위해 다크웹의 개인 위협 행위자 및 확인 서비스를 점점 더 많이 악용하고 있습니다. 마지막으로 우크라이나의 전쟁으로 인해 사이버 범죄자들이 카드 사기에 가담할 수 없게 되자, 한 상위권 카드 판매업체는 공급이 소강상태에 접어든 틈을 타 재활용된 결제 카드 기록을 시장에 넘쳐나게 만들었습니다. 이러한 기록의 낮은 품질에 좌절감을 느끼지만, 수완이 뛰어난 위협 공격자들은 이러한 기록을 피해자에 대한 표적 계정 탈취(ATO) 공격을 수행하는 데 무기화할 수 있는 값싼 개인 식별 정보(PII) 소스로 사용할 수 있습니다.

금융 기관과 카드 발급사는 결제 사기 수명 주기 전반의 인텔리전스를 통합하는 사전 예방적 사기 방지 전략을 채택함으로써 2023년에 카드 사기 손실을 줄일 수 있습니다. 2023년의 전반적인 카드 사기 활동 수준은 러시아의 우크라이나 전쟁 지속 여부에 따라 크게 좌우될 것이며, 전쟁이 지속된다면 위협 행위자들의 카드 사기 능력은 계속 저하될 가능성이 높습니다. 그러나 전쟁이 끝나면 결제 카드 사기가 다시 발생하거나 증가할 수 있습니다.

주요 연구 결과

2022년 다크웹 카드 판매점에 게시된 CNP 결제 카드 기록은 2021년 대비 24% 감소한 4,560만 건에 달했습니다. 올해 상대적으로 낮은 CNP 거래량은 2012년 초 러시아의 사이버 범죄 단속과 이후 우크라이나에 대한 본격적인 침공의 결과일 가능성이 높습니다. 2022년에 가장 영향력이 컸던 CNP 침해는 온라인 주문 플랫폼에 영향을 미쳤습니다.
2022년 다크웹 카드 판매점에서 게시된 CP 결제 카드 기록은 1,380만 건으로 2021년 대비 62% 감소했습니다. 올해의 이벤트가 이러한 감소세에 영향을 미쳤을 수도 있지만, 전 세계적으로 보다 안전한 대면 결제 수단의 채택이 증가함에 따라 매년 CP 거래량도 꾸준히 감소하고 있습니다. 2022년 CP 위반은 소규모 식당과 술집에서 압도적으로 많이 발생했습니다.
기록된 미래® 마그카트 오버워치 프로그램에서 2022년 한 시점에 9,290개의 고유한 이커머스 도메인 감염과 관련된 1,520개의 고유 악성 도메인을 발견했습니다.
최소 2,050만 개의 유출된 결제 카드의 전체 기본 계정 번호(PAN)가 다크웹 포럼, 페이스트빈, 소셜 미디어 등 다양한 리소스에 일반 텍스트 또는 이미지로 게시되었습니다.
레코디드 퓨처가 모니터링한 21개의 카드 수표 서비스는 660개의 고유 판매자 식별 번호(MID)와 연결된 2,953개의 고유 판매자를 불법 카드 수표에 악용했습니다.
위협 행위자들은 3D 보안(3DS) 프로토콜이 제공하는 보호 기능을 회피하거나 우회하는 데 집중했으며, 공격을 용이하게 하는 수단으로 고객 서비스 콜센터를 악용하는 사례가 점점 더 많아지고 있습니다. 또한, 2022년 한 해 동안 게시된 값싸고 재게시된 결제 카드 기록이 급증하면서 ATO 공격의 공격 표면이 증가했습니다.
결제 사기 라이프사이클은 공급망, 구매자와 판매자 간의 조율된 교환, 체커와 같은 서비스 제공으로 뒷받침되는 실제 시장과 매우 유사합니다. 이렇게 높은 수준의 조직은 카드 사기의 기회와 영향을 증가시키지만, 동시에 데이터가 풍부한 환경을 조성하기도 합니다. 따라서 카드 발급사, 매입자, 가맹점 서비스 제공업체는 결제 사기 수명 주기 전반의 인텔리전스를 통합하고 통합하여 사기에 선제적으로 대응해야 합니다.

배경

결제 카드 사기는 정교한 지하 경제의 일부로 존재합니다. 생산 네트워크, 공급망, 다크웹 카드 판매점은 위협 행위자에게 범죄 서비스 및 상품을 동종 업계에 판매하거나 카드 사기에 연루된 최종 사용자에게 훔친 데이터를 전달할 수 있는 수단을 제공합니다. 이러한 그림자 경제에서 결제 카드 사기는 아래 그림 1에서 볼 수 있듯이 특정 '라이프 사이클'을 따릅니다.

연간-결제-사기-정보-보고서-2022-fig1.png 그림 1: 결제 카드 사기는 일반적인 라이프 사이클을 따릅니다(출처: Recorded Future).

수명 주기 초기에 물리적 침해는 판매자의 카드 현재(CP) 거래에서 결제 카드 데이터의 도난을 용이하게 합니다. 한편, 사이버 범죄자들은 온라인 CNP(카드 미소지 거래) 거래에서 카드 데이터를 훔치기 위해 종종 Magecart 전자 스키머 감염을 통해 디지털 침해를 일으킵니다. 이렇게 도난당한 카드 기록은 다크웹에 판매용으로 게시되어 범죄 구매자가 '윈도우 쇼핑'을 할 수 있도록 결제 카드 데이터의 일부가 공개됩니다. 간혹 카드 판매점에서 홍보 목적으로 도난당한 결제 카드 데이터 전체를 공개하는 경우가 있는데, 이는 범죄자들이 전체 PAN(기본 계좌 번호)을 탈취할 수 있는 많은 기회 중 하나입니다. 카드 판매점은 판매하기 전에 적절한 이름의 검사기를 사용하여 도난당한 카드 세트를 감정하고, 개별 범죄자는 구매 전후에 동일한 검사기를 사용하여 기록의 유효성을 확인합니다. '최종 사용자' 사기 행위자가 원하는 결제 카드 데이터를 획득하면 일반적으로 사기 거래를 통해 수익을 창출합니다. 공격자가 피해자의 개인 식별 정보(PII)를 충분히 확보할 수 있다면 피해자의 은행 계좌에서 현금을 인출하기 위해 계정 탈취(ATO) 공격을 시도할 수도 있습니다.

레코디드 퓨처는 2022년 내내 이러한 그림자 경제를 모니터링하여 고객이 결제 카드 사기 라이프사이클의 모든 단계에서 사기를 차단할 수 있도록 지원했습니다. 모니터링 과정에서 2021년에 이어진 트렌드와 2022년 이벤트에서 유기적으로 성장한 새로운 트렌드를 모두 관찰할 수 있었습니다.