Shawn's Laboratory (+Popeyed World)

최근 게임 ID/PASS에 대한 고객문의가 급증하여, 이의 원인을 조사해 본 결과 정말 다양한 사회공학이 있음을 알고 경악을 했습니다. 특별히 기술적인 해킹도 하지 않고 앉아저 덫만 만들어 놓고 사기를 칠 수 있다는 사실은 놀랍기만 합니다.

 <사진은 RMT Life 라고 하는 일본 최대의 게임현금거래 싸이트>

1. 회사사칭

게임중 회사의 스태프를 가장해서 (회사나 게임이름과 비슷한 ID를 만드는 거죠, 예를 들면 adminXX, XXpatrol ..) 선량한 사용자에 다가가 묻습니다. "신고가 들어와서 봇이 아닌가 체크하기 위해 개인정보를 확인하겠습니다" 이름은 뭐죠? 가입시 주소는? 약간 틀립니다. id와 password를 입력해 주세요...

꽤 자주 있는 케이스라고 합니다. 그래서 어떤 게임을 분석해 보면 만들기 금지된 아이디 리스트를 가지고 있는 것들이 있는데 주로 욕설과 위의 관리자를 사칭할 수 있는 ID들입니다

2. 대화방

대화방에서는 주로 나이가 아주 많거나 아니면 아주 어린 사용자에게 접근하여 관련 포털의 코인을 넣어준다는 달콤한 속삭임으로 유혹을 합니다. 이런 사회공학에서는 첫 인상이 중요해서 상대방에게 아주 친밀한 멘트와 자신이 이상한 사람이 아니다라는 것을 믿게끔하는 (혹은 지인을 사칭) 방벙이 사용되는 것 같습니다. 사적인 코인의 전달은 위해서는 id/pass가 필요하다고 해서 빼 내지요.

3. 게시판, (RMT, 혹은 이벤트)

RMT(Real Money Trade) 는 실제 현금을 받고 다른 사용자로부터 캐릭터의 대리 육성을 받는 소위 작업장 서비스를 일컷습니다. 아이템을 구입할 수 도 있고 자신의 캐릭터를 어느 레벨까지 달성할 수 있게 한다는 것이 취지입니다. 실제 TV에서 중국인들이 이것을 인터넷 비지니스 모델로 활용하고 있다고 당당하게 떠드는 것을 봤습니다. 무슨 공장같은데서 100여명이 열심히 매뉴얼을 보고 캐릭터를 키우고 있는 모습을 봤는데요...

아무튼 이런 RMT를 위해서는 id/pass가 필수입니다. 하지만, 그것이 실제 RMT가 아닌경우는 어떻게 될까요? 아니면 이벤트 기간이라고 해서 무료아이템이나 무료육성을 해준다고 하고 id/pass만 가로챈다면 어떻게 될까요? 

과거로부터 꽤많은 사례가 있었던것 같습니다. 아직도 게시판에 수십건의 관련 글들이 포스팅되는데 모니터링에도 한계가 있다고 합니다.

4. 메일

메일에 지인이나 자신을 알고 있는 사람을 사칭하여 인코딩된 URL 을 보내는 경우가 있습니다. 그 URL을 누르자 마자 사용자는 바로 IRC BOT으로 들어오게 되죠. 혹은 쿠키를 가로채 질수도 있는데 요즘은 많은 회사에서 쿠키에 대한 인증을 강화하고 있는 터라 SSO를 우회하는 방법을 사용합니다.

이전에도 관련 글을 쓴적이 있는데, SSO를 가정하여 피싱을 하는 방법이라고 생각하시면 되겠습니다. 해당페이지에 로긴하라고 id/pass 인풋 박스가 나와 사용자가 아무 의심없이 로긴하게 되는 시나리오입니다.

5. 게임로비

게임 로비에는 자신이 오늘 게임을 그만두기 때문에 아이템을 뿌린다. 몇가지 질문에 응답하면 공짜로 무슨무슨 아이템을 준다. 이런 현란한 유혹의 색채가 강한 문구를 가진 방들이 많다고 합니다. 일종의 낚시인데, 물론 이들 모두 이 밑밥을 문 선량한 고객들의 id/pass를 요구하게 되죠. 재미있는 사실은 이렇게 해도 상당히 많은 유저들이 걸려든 사실입니다. 때문에 더 기승을 부리고 있는지 모르겠습니다.