>
연구(Insikt)

"ERIAKOS" 사기 캠페인: 레코디드 퓨처의 결제 사기 인텔리전스 팀에 의해 탐지됨

게시일: 2024년 7월 30일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

레코디드 퓨처의 결제 사기 인텔리전스 팀은 페이스북 사용자를 대상으로 하는 '에리아코스(ERIAKOS)' 캠페인이라는 이름의 사기 이커머스 네트워크를 발견했습니다. 2024년 4월 17일에 탐지된 이 캠페인은 브랜드 사칭 및 멀버타이징 수법을 사용하여 개인 및 금융 데이터를 도용하는 608개의 사기 웹사이트와 관련이 있습니다. 특히 이 사기 웹사이트는 자동화된 스캐너를 피하기 위해 모바일 디바이스와 광고 미끼를 통해서만 접속할 수 있었습니다. 레코디드 퓨처는 의심스러운 판매자 계정을 차단하고 고객 거래를 면밀히 모니터링할 것을 권장합니다. 이 캠페인에서 고급 선별 기술을 사용하는 것은 현재의 탐지 기술에 도전할 수 있는 추세가 증가하고 있음을 시사합니다.

에리아코스 사기 캠페인: 복잡한 사기 웹 공개

2024년 4월 17일, Recorded Future의 결제 사기 인텔리전스 팀은 단일 위협 행위자 또는 그룹에 의해 조율된 608개의 사기 이커머스 웹사이트 네트워크를 발견했으며, 이 네트워크는 Facebook 사용자를 대상으로 하고 있었습니다. 사용된 CDN(oss[.]eriakos[.]com)의 이름을 따서 'ERIAKOS' 캠페인으로 명명했습니다, 이 사기 사이트는 브랜드 사칭 및 멀버타이징 수법을 사용하여 피해자의 금융 및 개인 데이터를 도용했습니다. 이러한 사기 사이트는 모바일 디바이스와 광고 미끼를 통해서만 접근할 수 있었는데, 이는 자동 탐지 시스템을 회피하기 위한 수법이며 이러한 TTP를 직접 관찰한 것은 이번이 처음입니다. 이 정교한 캠페인은 페이스북의 광고 미끼를 통해 사기 사이트에 접속한 모바일 사용자만을 대상으로 했습니다. 이러한 전략적 움직임은 자동화된 스캐너에 의해 탐지될 가능성을 크게 줄였습니다. 이러한 사기 웹사이트에 연결된 판매자 계정은 주요 카드 네트워크와 중국 PSP를 통해 결제를 처리하여 사기를 더욱 복잡하게 만들었습니다.

금융 기관은 지불 거절 분쟁 및 회복 불가능한 손실을 포함한 금융 사기의 위험에 노출되어 있습니다. 사칭된 비즈니스는 특히 사기를 당한 피해자들 사이에서 평판 손상에 직면합니다. 이러한 위험을 완화하기 위해 Recorded Future는 보고서에서 확인된 의심스러운 판매자 계정을 블랙리스트에 올리고 잠재적인 사기 징후가 있는지 거래를 모니터링할 것을 권장합니다.

완화 전략

이러한 위협에 대응하기 위해 금융 기관은 다음과 같은 조치를 취해야 합니다:

  • 사기 도메인과 관련된 판매자 계정을 식별하고 블랙리스트에 추가합니다.
  • 이러한 판매자와의 고객 거래를 차단합니다.
  • 과거 거래 데이터를 모니터링하여 이러한 사기에 노출될 수 있는 가능성을 감지하세요.
  • 고객에게 의심스러운 웹사이트와 거래를 신고하도록 권장하세요.
  • 레코디드 퓨처와 사기 웹사이트 리드를 공유하여 더 광범위한 위협을 식별하세요.
  • 기록된 미래 결제 사기 인텔리전스 (PFI)를 활용하여 PFI 공통 구매 시점(CPP) 데이터 세트를 사용하여 사기 가능성이 있는 웹사이트를 탐지하고 완화할 수 있습니다.
  • 기록된 미래 브랜드 인텔리전스를 활용하여 브랜드 사칭 위협을 탐지하고 완화하세요.

소비자에게는 다음과 같은 예방 조치를 권장합니다:

  • 안전하고 신뢰할 수 있는 웹사이트에서만 개인 정보 및 결제 정보를 제공합니다.
  • 구매하기 전에 회사를 철저히 조사하세요.
  • 전자상거래 웹사이트 및 해당 결제 하위 도메인의 적법성을 확인합니다.
  • 원치 않는 커뮤니케이션이나 광고에 주의하세요.
  • 사기가 발생하면 카드 발급사 및 BBB(Better Business Bureau)에 신고하세요.

기술 분석

레코디드 퓨처는 608개의 도메인을 ERIAKOS 캠페인과 연결하는 네 가지 주요 지표를 확인했습니다:

  1. 콘텐츠 전송 네트워크: 모든 사기 사이트는 oss[.]eriakos[.]com을 사용했습니다.
  2. 도메인 등록기관: 도메인은 Alibaba Cloud Computing Ltd.
  3. IP 주소: 두 개의 특정 IP 주소(47[.]251[.]129[.]84 및 47[.]251[.]50[.]19) 가 지속적으로 사용되었습니다.
  4. 도메인 구성 오류: 사기 도메인은 기본 도메인과 www 하위 도메인 간에 특정 잘못된 구성을 보였습니다.

이러한 지표와 판매자 계정 데이터를 결합하여 레코디드 퓨처는 사기 네트워크의 전체 범위를 매핑할 수 있었습니다. 결제를 처리하는 데 중국 PSP가 사용되면서 탐지 및 삭제 작업이 더욱 복잡해졌습니다.

전망

에리아코스 캠페인이 탐지를 회피하기 위해 고급 스크리닝 기법을 사용한 것은 사기 수법의 잠재적 트렌드를 보여줍니다. 이러한 수법이 더 널리 퍼지면 현재의 탐지 기술로는 유사한 위협을 식별하고 완화하는 데 어려움을 겪을 수 있으며, 이로 인해 사기 수명이 길어지고 피해자가 더 많이 노출될 수 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

관련