>
연구(Insikt)

범죄 지하세계의 실업 사기 [보고서]

게시일: 2021년 1월 14일
작성자: Insikt Group

기본 로고 - 인식트 - 디지털 (RGB).png

Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

이 보고서는 비공개 정보원과 지하 신고를 통해 현재 미국 내 실업 사기의 위협 환경을 검토합니다. 여기에는 Recorded Future® 플랫폼을 사용하여 수집한 정보와 추가 오픈 소스 정보(OSINT), 다크 웹 소스 및 언더그라운드 포럼 리서치가 포함되어 있습니다. 범죄 조직 내 실업 사기를 더 잘 이해하고자 하는 조직과 그러한 공격을 수행하는 위협 행위자에 대한 수사관들이 관심을 가질 만한 자료입니다.

Executive Summary

코로나19 팬데믹으로 인해 원래 바이러스로 인해 생활에 지장을 받은 사람들에게 제공되어야 할 실업 구제를 주제로 한 다양한 범죄 서비스가 상품화되고 있습니다. 실업 사기는 최근 위협 행위자들이 점점 더 쉽게 접근할 수 있게 되었으며, 신생 사이버 범죄자들에게는 진입 장벽이 낮습니다. 올해 코로나19 팬데믹에 대응하기 위한 구호 활동을 주제로 한 사기 캠페인의 성공은 성공적인 소셜 엔지니어링 캠페인, 미국 전역에서 활동하는 자금 운반책의 사용, 데이터 침해, 덤프 또는 유출 과정에서 노출된 위협 행위자의 로그인 정보 또는 개인 식별 정보(PII) 사용 등 여러 요인이 복합적으로 작용한 결과일 가능성이 높습니다. 실업급여 시스템을 노리는 일부 사기꾼은 기업의 경영진을 대상으로 하는 표적 피싱 이메일과 같은 전통적인 형태의 소셜 엔지니어링에 의존할 가능성이 높습니다. 이 사기 활동과 관련하여 자금 운반책이 사용된 것으로 의심되는 것과 같은 다른 전술은 다양한 유형의 사기를 전문으로 하는 다른 사이버 범죄 그룹, 특히 비즈니스 이메일 침해(BEC) 사기를 전문으로 하는 조직들의 전술과 겹칩니다.

실업 사기 튜토리얼 판매에 대한 지하 참조의 양과 이러한 수법이 생성하는 조회 수를 고려할 때, 많은 사기꾼이 여전히 이러한 형태의 사기를 수행하는 데 익숙하지 않을 가능성이 높습니다. 레코디드 퓨처는 공격자들이 정부 시스템 내의 취약점을 악용하고 있다고 의심할 만한 증거를 발견하지 못했으며, 대신 이전에 노출된 정보를 수집하여 가능한 한 많은 피해자를 기회주의적으로 노리는 공격자들의 능력에 의존하고 있습니다. 2020년 한 해 동안 실업 사기가 전반적으로 증가한 것은 실업 지원자 데이터를 가상 및 물리적으로 보호해야 하는 여러 정부 기관의 보안 위생에 공백이 생겼기 때문일 수 있습니다. 이는 일부 주에서 실업수당 청구와 관련된 개인 정보가 포함된 실제 우편물을 가로채려고 시도하는 것으로 추정되는 행위자들에 의해 입증되었습니다. 많은 주에서 공무원들을 압도한 실업수당 신청 사기가 범람하는 것은 사이버 범죄자들이 도용한 계정이나 유사한 사기를 수행하는 방법에 대한 저렴한 튜토리얼 및 방법을 구입할 수 있는 낮은 진입 장벽도 한몫하고 있습니다.

주요 판단 및 결과

  • 지난 6개월 동안 비공개 신고를 통한 부정 실업 서비스 홍보는 크게 두 가지 범주로 나눌 수 있습니다:

  • 허위 클레임을 제기하는 튜토리얼 또는 방법 판매

  • 기존 자금 잔액이 있는 실업 수당 계좌에 대한 직접 액세스 권한 판매

  • 지난 6개월 동안 사이버 범죄자들은 범죄 포럼, 상점, 마켓플레이스보다 메시징 플랫폼, 특히 텔레그램을 통해 실업 사기 튜토리얼이나 서비스를 광고하는 것을 선호하는 것으로 나타났습니다.

  • 실업 사기 서비스를 홍보하는 지하 조직은 일반적으로 신용카드 사기, 세금 사기 등 다양한 형태의 사기를 동시에 전문으로 합니다.

  • 최근 몇 달 동안 미국 내 실업수당 사기 청구 규모는 단일 위협 단체의 소행으로 보기 어려울 정도로 광범위하게 확산되었습니다.

  • 수백만 달러에 달하는 것으로 평가되는 실업 사기 활동으로 인한 손실에 대한 오픈 소스 보고는 지하 위협 행위자들의 관심도를 높이는 데 기여했을 가능성이 높습니다.

  • 2020년 한 해 동안 실업수당 사기 수법의 지하 판매자들이 업로드한 이미지와 의심되는 운반책의 체포와 관련된 오픈 소스 보고서에서 알 수 있듯이, 돈 운반책은 실업수당 사기 공급망의 핵심 요소로 남아 있을 가능성이 높습니다.

배경

코로나19 팬데믹이 시작된 이후 미국 전역에서 만연한 실업 사기가 보고되고 있으며, 주마다 그 정도는 다르지만 영향을 받고 있습니다. 이는 도난당한 PII를 사용하여 실업 수당을 청구하는 위협 행위자부터 훔친 자금을 운반하는 자금 운반책에 대한 신고에 대응하는 주 공무원, 해외에서 활동하는 사기 위협 행위자에 이르기까지 다양한 형태로 나타났습니다.

  • 2020년 1월, 연방수사국(FBI)은 사이버 범죄자들이 합법적인 고용주 및 직업 소개 회사와 함께 광고하여 모든 기술 및 소득 수준의 피해자를 대상으로 점점 더 복잡해지는 가짜 채용 사기를 수행하기 위해 스푸핑된 웹사이트를 사용하여 PII를 수집하고 돈을 훔치는 방법에 대해 자세히 설명했습니다. 실업 사기를 저지르기 위해 PII를 찾는 범죄자들은 이전에 보고된 데이터 덤프 또는 침해로부터 정보를 계속 수집하거나 저렴한 비용으로 정보를 판매하는 다른 범죄 시장( 종종 자동화된 시장)에서 정보를 수집할 가능성이 높습니다.
  • 4개월 후, 미국 비밀경호국(USSS)은 주 실업 보험 프로그램을 노린 사기 신고가 증가하는 것을 '잘 조직된' 나이지리아 사기 조직과 연결지었습니다. 아가리의 연구원들은 당시 나이지리아에서 발생한 사기의 일부가 스캐터드 카나리아(Scattered Canary)라는 사이버 범죄자 그룹에 의해 발생했다는 정보를 발표했습니다. 지난 몇 년 동안 이 그룹의 활동으로 인한 잠재적 손실은 수억 달러에 달하는 것으로 평가됩니다. USSS는 사기 네트워크에 수백 명의 자금 운반책(사기 금융 거래의 수익금 세탁을 돕기 위해 모집된 자의 또는 타의에 의한 개인을 지칭하는 용어)이 포함된 것으로 추정된다고 밝혔습니다.

만연한 실업 사기에 대한 보고는 여러 주에서 계속되고 있습니다. 레코디드 퓨처는 정부 시스템에 내재된 취약성 때문에 발생한 실업수당 사기 사례를 본 적이 없으며, 오히려 주마다 개별 사기범들이 사용하는 다양한 수법이 상세히 보고되고 있어 올해 발생한 모든 실업수당 사기 보고가 하나의 위협 주체에 의한 것이라고 보기는 어렵습니다. 2020년 한 해 동안 실업 사기가 전반적으로 증가한 것은 실업 지원자 데이터를 보호해야 하는 여러 정부 기관의 보안 위생에 실패했기 때문일 수 있습니다. 보안 전문가들은 여러 주에서 코로나19 팬데믹 이전에도 이러한 특정 형태의 사기에 대처하는 능력과 관련된 기존 문제가 있었을 것으로 보고 있으며, 그 중 일부는 실패한 사례도 있습니다:

  • 클레임이 유포되기 전에 신원 확인 소프트웨어를 구현하거나 갱신하여 클레임을 검토합니다.
  • 교도소 수감자, 사망자로 등록된 개인 또는 타주 거주자와같은 다른 개인의 개인 데이터에 대한 보험금 청구 교차 확인
  • 물리적 도난에 취약한 메일 서신에 사회보장번호(SSN)와 같은 지원자 PII가 포함되지 않도록 합니다.

신흥 사이버 범죄자들은 실업 시스템에 대한 사전 지식 없이도 이러한 형태의 사기 활동을 수행하는 것이 얼마나 쉬운지 자세히 설명하는 오픈 소스 보고서와 활동을 용이하게 하는 튜토리얼이나 방법을 구입하는 데 드는 상대적으로 저렴한 비용으로 인해 대담해졌을 가능성이 높습니다.

위협 분석

지난 6개월 동안 비공개 제보에 포함된 실업 서비스 사기 홍보는 크게 두 가지 범주로 나눌 수 있습니다:

  • 실업 구제를 지원하는 정부 시스템 또는 플랫폼에 사기성 청구를 제기하는 방법이나 튜토리얼을 판매하는 행위
  • 기존 자금 잔액이 있는 실업 수당 계좌에 대한 직접 액세스 권한 판매

2020년 3월, 미국 의원들은 팬데믹 실업 지원(PUA) 프로그램을 신설하는 코로나바이러스 원조, 구호 및 경제 안보(CARES) 법안을 통과시켰습니다. 이 프로그램은 코로나바이러스의 영향을 받은 자영업자, 프리랜서, 독립 계약자, 시간제 근로자까지 실업 보험 가입 자격을 확대합니다. PUA 프로그램은 팬데믹에 대응하기 위해 미국 내 정부 기관이 제공하는 실업 구제책의 한 요소일 뿐이지만, 실업 사기와 관련된 지하 광고가 계속 증가하고 있는 상황에서 필수적인 요소로 작용하고 있습니다.

실업-사기-범죄-지하-1-2.png

그림 1: 다크웹 소스 내 PUA 프로그램 언급(출처: Recorded Future)

아래 그림은 한 텔레그램 채널의 회원들을 대상으로 여러 형태의 사기 행위에 대한 설문조사 결과를 보여줍니다. PUA 정보 판매는 설문조사에서 최하위를 차지했지만, 설문조사에 포함된 것 자체가 이 사기 활동 요소가 사이버 범죄자들 사이에서 비공개 소스 내에서 자체 판매 카테고리를 보장할 만큼 충분한 수요를 창출하고 있다는 것을 보여줍니다. 레코디드 퓨처는 2020년 말에 실업수당 관련 조항이 만료될 것이라는 예상에 따라, PUA 프로그램이나 기타 실업수당 제공이 갑자기 중단될 경우, 최대한 많은 수익을 창출하려는 채널 관리자들의 사기성 PUA 청구가 우선적으로 이루어지고 있는 텔레그램 채널에 대한 정보를 파악하고 있습니다.

실업-사기-범죄-지하-2-1.png

그림 2: 2020년 11월 텔레그램 채널의 사기 활동 관련 설문조사 (출처: 텔레그램)

지난 6개월 동안 사이버 범죄자들은 범죄 포럼, 상점 또는 마켓플레이스보다 메시징 플랫폼을 통해 실업 사기 튜토리얼이나 계정 정보를 광고하는 것을 선호하는 것으로 나타났습니다. 그러나 전통 시장 내 수요는 여전히 높기 때문에 관리자는 실업 사기와 관련된 다양한 오퍼링을 계속 지원할 수 있습니다.

이러한 형태의 사기의 또 다른 매력적인 측면은 튜토리얼이나 계정 정보의 가격이 상대적으로 저렴하다는 점입니다. 레코디드 퓨처는 대상 주에 따라 5달러에서 100달러에 판매되는 실업 사기 행위에 관한 튜토리얼과 방법을 관찰했습니다. 아래 그림 3에서 볼 수 있듯이, 일부 위협 행위자들은 뉴욕 및 위스콘신 실업수당 청구와 관련된 PUA 정보에 대해 80~100달러를 요구했습니다(아래 그림 4 참조).

이러한 정보를 판매하는 위협 행위자들은 지하 비즈니스 모델의 장기적인 성공을 위해 수천 달러에 달하는 구호 잔액이 있는 계정을 포기할 의향이 있음을 보여주었습니다. 또한, 튜토리얼이 아닌 기존 잔액이 있는 계좌에 직접 액세스하는 가격이 더 높은 것은 구매자가 다른 베테랑 행위자가 이미 조달한 자금에 더 쉽게 접근할 수 있는 위치에 있기 때문일 수 있습니다. 이는 구매자가 법 집행 기관의 관심을 피하면서 수익을 달성하기 위해 피해자 계정을 확보하는 데 최종적인 책임을 지는 튜토리얼과는 대조적입니다.

실업-사기-범죄-지하-3-2.png

그림 3: "무작위" PUA 계정 정보에 대한 액세스 권한 판매

실업수당 사기와 관련된 다른 사기 수법에는 사이버 범죄자들이 사기 청구서 제출 시 성공 가능성을 높이는 유용한 팁이 포함되어 있습니다. 사기범들이 여러 튜토리얼에서 추천하는 팁은 다음과 같습니다:

  • 신청서에 코로나19 팬데믹이 고용 활동에 영향을 미친 시기를 묻는 질문이 있는 경우, 의회에서 CARES 법이 시행되기 이틀 전인 2020년 3월 25일을 기입하세요.

  • 가능하면 '자영업자'로 신청하면 다른 회사에서 일한다고 신청한 사람보다 더 많은 보험금을 받을 수 있습니다.

  • 이 가이드는 나중에 다른 사기꾼들이 보험금 청구에 성공할 때 어떤 직업을 선택해야 하는지 조언해 주었습니다. 이 튜토리얼의 경우 저자는 원격 환경에서 수행하기 어려운 '전문 사진작가' 또는 다른 직업인 척하는 것을 권장했습니다.

  • 부정 청구 신고 시 2019년 연간 수입을 묻는 질문에 16,850달러에서 42,100달러 사이의 금액을 기재하세요. 이 사례의 작성자는 특정 임계값 이상의 급여를 제공하면 법 집행 기관의 수사관이나 개별 청구를 검토하는 주 공무원이 이를 신고할 가능성이 높아진다고 생각했을 가능성이 높습니다.

  • 여러 튜토리얼에서 사회 공학 기법도 권장되었습니다. 한 가이드에서 저자는 PUA에 '청구 전화'를 걸어 다른 출처에서 얻은 사회보장번호(SSN)를 입력하면 해당 개인이 이미 실업 수당 청구가 진행 중인지 확인할 수 있다고 보고했습니다. 아직 클레임이 제기되지 않은 경우, 대상에 대한 추가 PII의 출처로 Verified 및 Truthfinder와 같은 공공 기록 집계 웹사이트가 권장됩니다. 공격자들은 특히 이러한 공공 기록 집계 사이트에 대한 추가 연구를 수행하기 위해 대상에 대한 '양호한' SSN 및 생년월일(DOB) 정보를 사용하라고 조언했는데, 이는 추가적인 PII 수집을 시도하기 위한 것으로 보입니다. 그러나 배우들은 이 가이드에서도 편향성을 보였는데, 최종적으로 자신이 소속된 특정 지하 마켓을 방문하여 추가 정보를 구매할 것을 권장하는 등 편향성을 드러냈습니다.

사기성 실업 수당 안내서나 계좌 정보를 판매하는 지하 조직은 일반적으로 신용카드 및 세금 사기를 비롯한 다른 형태의 사기를 전문으로 합니다. 또한 이러한 유형의 사기 판매자는 한 번에 한 주의 실업 시스템을 대상으로 모든 자원을 투입하지 않는 것으로 보입니다. 대신, 고객의 수요와 특정 주 내에서 실업 수당 계좌에 접근하기 어려운 정도에 따라 다양한 주의 정보에 동시에 접근할 수 있는 서비스를 제공합니다.

실업-사기-범죄-지하-4-1.png

그림 4: 단일 언더그라운드 행위자의 국가 PUA 제공 스크린샷 (출처: 텔레그램)

최종 사용자의 검색 기록 또는 '디지털 발자국' 판매를 전문으로 하는 Genesis Store 및 Russian Market과 같은 범죄 상점에서도 2020년 내내 실업 수당과 관련된 주 정부 도메인의 로그인 정보가 정기적으로 포함되어 있었습니다. 레코디드 퓨처는 사이버 범죄자들 사이에서 주 정부 로그인 정보가 포함된 이러한 '봇'이 실업 사기 행위를 위해 특별히 구매되었다는 징후나 언급은 발견하지 못했지만, 이러한 상점 내에 토론 기능이 없기 때문에 이러한 출처로부터의 구체적인 구매 동기를 파악하기는 어려웠습니다.

정부 모니터링의 변화에 대한 알림

미국 전역에서 실업수당 사기에 대한 신고가 꾸준히 증가함에 따라 각 주에서는 이러한 형태의 사기 행위로 인한 위협을 다양한 수준으로 완화하기 위해 노력해 왔습니다. 2020년 11월 현재, USSS는 급여 보호 프로그램 및 실업 구제 보험 프로그램을 노린 사기와 관련된 700건의 미해결 조사 건수를 보고했습니다. 이처럼 만연한 사기에 맞서기 위해 각 주에서 강력한 보안 태세를 지속적으로 개발함에 따라, 실업 사기 수법이나 계정 정보를 광고하는 사이버 범죄자들도 이러한 변화를 지속적으로 모니터링하고 그에 따라 조정하고 있습니다.

  • 아래 그림 5는 사기 활동에 전념하는 텔레그램 채널의 관리자가 회원들에게 더 이상 재정 지원금을 배포하지 않는 것으로 알려진 미국의 특정 7개 주와 연결된 실업 지원 플랫폼을 구매하거나 접속을 시도하지 말 것을 권고하는 모습을 보여줍니다.
  • 각 텔레그램 채널은 특정 시점에 어떤 주가 이상적인 대상인지 아닌지에 대해 다양한 권장사항을 가지고 있는 것으로 보입니다. 예를 들어, 2020년 11월에 처음 업로드된 그림 5의 텔레그램 게시물 이후 2주 만에 위협 행위자는 채널 관리자의 사전 경고에도 불구하고 같은 채널 내에서 오하이오 주정부 시스템과 관련된 방법이나 계정 정보를 판매하기 시작했습니다.
  • 이러한 메시징 플랫폼 채널 내 위협 행위자들은 또한 일부 국가가 다른 국가보다 자신의 위치를 더 잘 파악할 수 있다는 점에 우려를 표명했습니다. 레코디드 퓨처는 한 시나리오에서 사기 청구 모니터링을 위해 추적 애플리케이션을 사용할 가능성이 있다고 생각되는 미국의 특정 4개 주에 가지 말라고 조언하는 한 사용자의 댓글을 관찰했습니다. 이러한 형태의 추적을 방지하고 사용자가 실업 플랫폼에서 잠기지 않도록 하기 위해 비공개 소스에서는 프록시 IP 주소의 사용을 적극 권장했으며, 정부 기관이 사용자의 원래 IP 주소를 의심스러운 것으로 표시하도록 했습니다.

실업-사기-범죄-지하-5-1.png

그림 5: 채널 구성원에게 특정 상태를 표적으로 삼지 말라고 조언하는 위협 행위자(출처: 텔레그램)

실업-사기-범죄-지하-6-1.png

그림 6: 정부의 텔레그램 채널 감청 시도에 대한 관리자의 경고 (출처: 텔레그램)

이러한 사기 행위가 확산되는 데 도움을 준 정부 또는 기업 시스템 내의 보안 취약점은 확인되지 않았습니다. 위협 행위자들은 노출된 로그인 정보를 수집하거나 지하 출처에서 판매할 목적으로 PII 번들을 구매하여 실업 구호 플랫폼을 계속해서 기회주의적으로 표적으로 삼을 가능성이 높습니다.

다른 사기범 지원

일반적으로 실업 사기 전용 메시징 플랫폼 내에서 채널을 관리하는 관리자들은 채널에 대한 수요를 창출하고 수익을 높일 수 있는 파트너와 장기적인 관계를 발전시키기 위해 신규 사용자 멘토링에 대한 아이디어를 수용했습니다. 사이버 범죄자들 사이에서 실업 사기에 대해 서로 협력하려는 이러한 의지는 사이버 범죄 포럼에도 이어져, 장기적인 사기 활동을 위한 '진지한' 파트너를 찾는 사용자들의 반복적인 요청이 관찰되었습니다. 이러한 스레드를 통해 이해관계자들이 비공개 채널을 통해 공급업체에 연락하도록 유도했기 때문에 Recorded Future가 이러한 파트너십의 잠재적 성공 가능성에 대해 파악할 수 있는 가시성은 제한적이었습니다.

실업-사기-범죄-지하-7-1.png

실업급여 파트너 요청 _그림7: 실업급여 파트너 요청 _그림7

고용 사기 또는 PUA 사기 수법을 사용하는 공급업체는 재난 구호 사기, 사회보장 사기, 세금 사기, 신용 카드 사기 등 여러 가지 사기에 동시에 연루되는 경우가 많습니다. 이는 다양한 수익원을 제공할 수 있는 여러 서비스를 운영하는 사이버 범죄 조직이 주로 사용하는 방식입니다.

레코디드 퓨처는 범죄 조직 내부에 퍼져 있는 PUA 또는 일반 실업 사기 수법과 관련된 몇 가지 튜토리얼과 방법을 검토했습니다. 광고된 대부분의 방법의 경우, 사이버 범죄자들은 이미 도난당한 PII 또는 '풀즈'를 보유하고 있어 가이드를 이용하고 수익을 창출할 수 있는 위치에 있을 것으로 예상되었습니다. 풀즈는 PII를 도용하는 범죄자들이 사기 피해자의 이름, 주소, 생년월일, 사회보장번호, 운전면허 번호, 가족 구성원의 PII 및 기타 기타 정보(예: 범죄 또는 고용 기록)를 포함한 일련의 정보를 지칭하기 위해 사용하는 "전체 정보(" )의 속어입니다.

동일한 PUA 사기 수법을 사용하는 판매자는 추가 비용을 지불하고 이 정보를 별도로 판매하려는 경우가 많았습니다. 이는 이러한 유형의 사기 행위를 처음 접하는 범죄자들을 기꺼이 도와주는 선한 사마리아인으로 자신을 묘사하려는 벤더들의 시도에도 불구하고 재정적 성공이 여전히 근본적인 동기임을 보여줍니다.

실업-사기-범죄-지하-8-1.png

그림 8: 워싱턴과 매사추세츠에서 부정 청구 신청 방법을 논의하는 언더그라운드 포럼 회원

실업-사기-범죄-지하-9-1.png

그림 9: 매사추세츠주 실업 사기를 저지르기 위해 위조 신분증을 요청하는 언더그라운드 회원

실업 사기 타겟팅 및 어트리뷰션

2020년 5월, 보안 회사 Agari의 연구원들은 미국 전역에서 실업수당 및 CARES 법 청구 사기를 저지르는 나이지리아 사이버 범죄 그룹 '스캐터드 카나리아'에 대한 조사 결과를 발표했습니다. 스캐터드 카나리아 사이버 범죄 그룹은 이메일 사칭 및 피싱 등의 사기를 사용하여 기업을 조종하여 허위 계약 및 기타 가짜 송장을 지불하도록 유도하는 풀서비스 비즈니스 이메일 침해(BEC) 작업을 수행합니다. 아가리의 원격 분석에 따르면 대부분의 공격 대상은 미국 7개 주에 위치해 있었습니다: 플로리다, 매사추세츠, 노스캐롤라이나, 오클라호마, 로드아일랜드, 워싱턴, 와이오밍입니다. 스캐터드 카나리와 관련된 위협 행위자들은 선불 카드를 조합하여 결제를 받고 이메일 계정을 대량으로 생성한 것으로 보고되었습니다:

  • 전체적으로 스캐터드 카나리아는 최소 47개의 그린닷의 선불카드 계정을 사용하여 사기 대금을 수령했습니다.

  • Scattered Canary는 Gmail 계정을 사용하여 각 대상 웹사이트에 계정을 대량으로 생성했습니다. 구글은 Gmail 주소를 해석할 때 마침표를 무시하기 때문에, 스캐터드 카나리아는 주정부 실업 웹사이트와 세금 미신고자를 위한 CARES 법 지불 처리 전용 IRS 웹사이트(freefilefillableforms[.]com)에 수십 개의 계정을 만들 수 있었던 것으로 추정됩니다.

  • 스캐터드 카나리아가 실업 지원 피싱 이메일을 보내는 데 사용한 Gmail 도트 서식 구조의 예입니다:

  • badactor2021@gmail[.]com

  • badactor202.1@gmail[.]com

  • badactor202.21@gmail[.]com

  • 이 전략을 사용하여 Scattered Canary는 모든 커뮤니케이션을 단일 Gmail 계정으로 전송함으로써 운영을 보다 효율적으로 확장할 수 있었습니다. Agari에 따르면 이렇게 하면 웹사이트에서 생성하는 모든 계정에 대해 새로운 이메일 계정을 만들고 모니터링할 필요가 없으므로 궁극적으로 거래가 더 빠르고 효율적으로 이루어집니다.

아가리는 2020년 5월 현재 9개의 신분을 가진 텍사스 주 실업 수당을 표적으로 삼은 이 그룹이 관심을 갖고 있는 것으로 보고했습니다. 현재 레코디드 퓨처는 개별 주에서 스캐터드 카나리와 관련된 사기 청구 중 얼마나 많은 보험금이 지급되었는지에 대한 자세한 정보를 가지고 있지 않습니다. 그러나 주 실업 지원 정보를 판매하는 메시징 플랫폼에 업로드된 동영상을 검토한 결과, 서아프리카에 기반을 둔 운영자와 연관성이 있을 가능성이 있는 것으로 나타났습니다.

  • 사기 메시징 플랫폼에 업로드된 한 동영상에서는 영국에서 가나로 물품을 운송(방문 배송)하는 배송 및 배달 회사인 사마미아(배송) 엔터프라이즈 리미티드로부터 소포를 받는 채널 회원으로 추정되는 사람이 등장했습니다. 아가리에 따르면 2019년 5월부터 2020년 7월까지 BEC 사기의 10%가 가나에서 발생했다고 합니다.

레코디드 퓨처가 입수한 피해자 보고서에 따르면 요청자들은 일반적으로 대상자의 이름, SSN, 직장을 알고 있었지만 다른 모든 데이터는 정적이라고 합니다. 레코디드 퓨처에 보고된 일부 시나리오에서는 요청자가 대상자의 이름, 주민등록번호, 직장을 알고 있어 임원이나 고액 자산가를 표적으로 삼으려는 것으로 보입니다. 이는 스캐터드 카나리와 같은 위협 조직이 조율하는 BEC 캠페인에서 흔히 사용되는 기법으로, 위협 조직이 최고 재무 책임자를 대상으로 한 이메일에서 Agari의 임원을 사칭한 것으로 처음 확인되었습니다.

미국 내 사기성 실업수당 청구는 단일 위협 단체에서 발생했을 가능성이 없을 정도로 광범위하게 퍼져 있습니다. 위협 행위자들은 사기성 실업수당 청구가 금전적으로 미치는 영향에 대한 오픈 소스 보고를 통해 대담해졌을 가능성이 높습니다.

이 보고는 특히 비공개 소스 보고 내에서 유포되는 실업 사기에 초점을 맞추고 있지만, 운영 보안 유지와 무관한 일부 기회주의적 행위자들도 기존의 소셜 미디어 플랫폼에서 광고를 하는 것이 관찰되었습니다. 실업 사기 활동과 수백만 달러로 추정되는 손실에 대한 오픈 소스 보고가 대량으로 이루어지면서 지하 위협 행위자들의 관심과 동기가 높아졌을 가능성이 높습니다.

실업-사기-범죄-지하-10-1.jpg

그림 10: 실업 방법/자습서를 위한 소셜 미디어 광고

이러한 관심은 2020년 12월 초부터 주 및 지방 정부 차원에서 보고된 여러 통계에 반영되었습니다.

  • 2020년 8월 크렙스온시큐리티의 후속 조사 결과, 사기꾼 그룹이 무료 이메일 서비스를 통해 미국인의 매우 상세한 개인 및 금융 기록을 공유했을 가능성이 높다는 사실이 재확인되었습니다. 또 다른 미공개 소식통은 크렙스온시큐리티에 이 그룹의 사기 활동을 방해하기 위해 몇 주 동안 이 그룹의 통신을 모니터링하고 미국 주 및 연방 당국과 정보를 공유했다고 알려주었습니다. 이 소식통은 이러한 실업 사기 캠페인의 규모에 대한 이전 보고서와 마찬가지로, 이 위협 그룹은 수백 명의 개인으로 구성되어 있으며, 이들은 미국 중소기업청(SBA)에 허위 대출 신청을 하고 미국 여러 주를 상대로 사기성 실업 보험 청구를 통해 미국 주 및 연방 국고에서 총 수천만 달러를 훔친 것으로 보인다고 전했습니다.

  • 미국 SBA에 제출된 허위 대출 신청서와의 연관성은 2020년 5월 아가리가 자세히 설명한 스캐터드 카나리아의 운영 기법과 겹친다는 점에서 주목할 만합니다.

  • 뱅크 오브 아메리카는 2020년 12월 주 의원들에게 보낸 경고문에서 캘리포니아의 실업급여 시스템에서 발생한 사기 피해액만 20억 달러에 달할 것으로 추정했습니다. 뱅크 오브 아메리카는 의심스러운 활동이 있는 64만 개의 계좌를 확인했으며, 이 계좌의 가짜 여부를 조사하여 폐쇄해야 한다고 밝혔습니다.

  • 실업 사기를 전담하는 지하 채널에 등록된 총 회원 수는 증가 추세에 있습니다. 레코디드 퓨처 애널리스트가 모니터링하는 한 채널은 2020년 11월 초에 약 7,500명의 회원을 보유하고 있었습니다. 한 달 후, 총 회원 수는 18,000명을 넘어섰고, 채널 관리자가 정기적으로 업로드하는 새 메시지는 평균 수천 건의 조회수를 기록했습니다.

실업-사기-범죄-지하-11-1.png

그림 11: 2020년 11월 이후 언더그라운드의 실업 사기 광고에 언급된 주(출처: Recorded Future)

머니 뮬에 대한 의존도

2020년 한 해 동안 실업수당 사기 수법의 지하 판매자들이 업로드한 이미지와 의심되는 운반책의 체포와 관련된 오픈 소스 보고서에서 알 수 있듯이, 돈 운반책은 실업수당 사기 공급망의 핵심 요소로 남아 있을 가능성이 높습니다. 코로나19 팬데믹으로 인해 올해 배송대행업체들은 비즈니스 전략을 변경해야 했습니다. USSS의 자문은 이러한 신청의 배후로 의심되는 사기 조직이 이미 올해 초에 관찰된 신청 건수를 제출하기 위해 상당한 양의 PII 데이터베이스를 보유하고 있었다고 보고했습니다. 또한 USSS는 이 사기 네트워크가 수백 명의 자금 운반책으로 구성된 것으로 추정된다고 밝혔습니다.

운반책은 상품을 한 장소에서 다른 장소로 물리적으로 이동해야 하거나 사기 자금을 계좌 간에 이동해야 하는 사기범에게 필수적입니다. 자금 운반책 사기의 경우, 사기범은 종종 개인을 모집하여 사기 거래에서 직접 입금을 받은 다음 불법 자금의 대부분을 가해자에게 전달하고 일정 비율을 노력에 대한 보상으로 남겨두기도 합니다. 실업 수당 사기 청구와 관련된 전국적인 체포 건수가 증가함에 따라 여러 사기범들이 해외 조직과 직접적인 연계 없이 독립적으로 활동할 가능성이 높다는 점도 명확해졌습니다.

  • 2020년 9월, 펜실베이니아주 법무장관(AG)인 조쉬 샤피로는 펜실베이니아주 중부와 동부에 있는 3개 주립 교도소에서 실업 사기를 저지른 혐의로 수감자 20명과 공범을 기소했다고 발표했습니다. 검찰은 또한 조직과의 연관성이 확인되지 않은 채 체포된 수감자 6명도 있다고 밝혔습니다.

  • 2020년 10월에 관찰된 지하 시장 공급업체의 게시물에 따르면 다크웹에서 광고하는 작업을 지원하는 데 자금 운반책이 중요한 역할을 하는 것으로 나타났습니다.

  • 2020년 10월 25일, 포럼 Omerta의 한 회원이 미국에서 사기 실업 수당 현금 지급 서비스를 광고하기 시작했습니다. 이 위협 행위자는 자신들의 자금 운반책('뱅크 드롭')이 실업 수당을 별도로 협의한 비율만큼 현금으로 지급할 수 있다고 말했습니다.

실업-사기-범죄-지하-12-1.png

그림 12: 2020년 실업수당 사기 검거 일정(주요 뉴스 출처)(출처: Recorded Future)

완화 조치

익명을 전제로 2020년 5월 KrebsOnSecurity와 통화한 한 연방 사기 수사관은 많은 미국 주에서 동일한 IP 주소나 은행 계좌가 여러 개 포함된 실업수당 신청서를 찾는 등 사기성 실업수당 신청을 더 잘 가려낼 수 있는 패턴을 탐지할 수 있는 충분한 통제 장치가 마련되어 있지 않다고 말했습니다. 조사관은 이어서 미국 일부 주에서는 사기범이 이름, 주민등록번호 및 기타 기본 정보만 제출하면 보험금 청구가 처리된다는 점을 명확히 밝혔습니다. 조사관은 일부 기관에서 인증 목적으로 청구인의 이전 고용주에 대한 질문 목록이 팬데믹으로 인해 줄어들거나 완전히 사라졌다고 암시한 것으로 알려졌습니다.

각국은 이러한 형태의 사기 활동으로 인한 위험을 해결하기 위해 자체적인 개별 조치를 채택하기 시작했습니다. 매사추세츠 주와 같은 주의 대표자들은 이전에 많은 실업 수당 청구의 지급 기간을 일시적으로 지연시키는 추가 신원 확인 조치를 시행하기 시작했다고 밝힌 바 있습니다. 이러한 조치의 결과로 특정 실업수당 청구자는 청구의 유효성을 확인하기 위해 추가 신원 정보를 제공하도록 요청받을 수 있습니다.

직원이 실업 사기 사기의 희생양이 되었다고 의심되는 조직은 다음과 같은 조치를 취할 수 있습니다:

  • 이 사기에 관한 정보를 해당 지역 주정부 및 USSS 현장 사무소에 전달하세요. 또한 미국 증권거래위원회는 피해자들이 현지 금융 기관과 지속적으로 연락하여 운반책과 잠재적 압류 대상을 파악할 것을 권장했습니다.
  • 앱에서 잠재적인 스팸 또는 결제 사기를 감지하고 사기가 의심되는 경우 사용자에게 문자 메시지를 보낼 수 있는 모니터링 소프트웨어 또는 애플리케이션의 기능을 사용합니다. 청구자의 신원을 확인하는 도구와 데이터 세트를 사용하여 잠재적인 범죄 활동에 플래그를 지정하면 사기 행위가 시작되기 전에 이를 차단할 수 있습니다.

전망

실업 또는 보험금 청구 사기의 가장 중요한 요소는 피해자의 개인 정보에 대한 접근입니다. 이러한 유형의 정보는 다크웹 마켓플레이스, 상점 및 포럼에서 상당히 저렴한 가격에 접근하고 구매할 수 있으며, 지하 정보원에 계정을 설정할 수 있는 충분한 지식을 가진 사람이라면 누구나 이용할 수 있습니다. 이용 가능한 데이터만으로는 어떤 사기 유형이 가장 빈번하게 발생하고 있는지 파악하기 어렵습니다. 그러나 일부 대규모 데이터 덤프, 특히 널리 공개되고 쉽게 접근할 수 있는 데이터 덤프가 공개된 이후에도 PII에 의존하는 사기 활동은 계속 급증할 가능성이 높습니다.

관련