혹시나 깜빡하고 당하시는 분 있으실까봐 오늘 있었던 일 공유합니다.
금요일 오후 빨리 열일 하고 저녁에 뭐하고 놀까 고민하던중, 무려 제 번호로 저한테 전화가 왔습니다.
받아보니 verizon ARS 목소리구요, fraud 관련해서 연락을 해야 한답니다. 친절하게도 대기시간은 1분 정도 걸린다고 하네요.
그래서 스피커폰으로 대기 음악 들으면서 있는데 상담원이 설명을 해줍니다. 백인 남성 목소리였구요.
내 계좌로 iPhone 이 결제가 되었는데 fraud detection 에 걸려서 본인이 결제한게 맞는지 확인해 달라고 합니다.
물론 그런적 없다라고 이야기 해줬죠.
그랬더니 본인 확인 해야 한다면서 일단 zipcode 를 불러달라고 하더라구요. 그래서 별 생각없이 불러줬습니다. (여기까지는 정말 그럴싸 했어요)
그리고 바로 지금 문자를 보낼테니 verification code를 불러달라고 하더라구요.
아니나다를까 진짜 verizon 에서 저한테 verification code를 문자로 보냈습니다. (진짜 verizon text)
순간 느낌이 쌔해서, 운전중이라 text를 읽을 수가 없다 (라고 뻥치고). 나중에 다시 전화할테니 너 연락처를 달라라고 했는데
그쪽에서 자꾸 문자 번호를 읽어달라고 합니다. 몇 번 옥신각신 하다가 그쪽에서 갑자기 훅 끊어 버립니다.
이상하다 싶어서 바로 verizon website에 접속하려고 들어가니, 제 password가 틀렸다고 나오네요??? 뭐지
그래서 Verizon 에 전화를 해서 확인을 해보니 이건 spoofing 이라고, 저한테 이야기 해줬습니다. 오호...
그러니까 정리하자면
1. 해커가 내 전화번호를 알아내서, 발신자표시를 내 번호로 하고 전화를 했다.
2. 나랑 통화하면서 일단 zipcode를 알아냄
3. 나에게 받은 zipcode랑 내 전화번호를 가지고 verizon 아이디 비밀번호를 리셋했다
4. 그리고 나서 password reset 을 위한 확인 문자를 verizon website 를 통해 나에게 보내면서
5. 나에게 그 verification code 를 불러달라고 했다
저는 lastpass 쓰고 (모든 웹사이트는 다 다른 패스워드), 공공장소에서는 항상 vpn 쓰고, verizon call filter app 도 쓰고, truecaller app도 쓰고, 왠만한건 다 DUO 2-step auth 썼는데, 자만했던것 같아요. 정말 하마터면 넘어갈뻔 했습니다. 모두 조심하시길.
[업데이트 - 혹시라도 도움이 되실까봐 제가 받은 문자를 보여드립니다. 첫 번째 코드가 해커가 제 패스워드를 리셋하면서 보낸 코드고, 두번째 코드가 제가 잃어버린 패스워드를 다시 리셋하려고 보낸 코드에요. 다시 보니 Verison will never contact you for this code. 라고 떡하니 적혀 있네요. 이게 무슨 말인지 이제야 이해한것 같습니다. 전화에서 텍스트로 받는 verification code 물어보면 절대 가르쳐 주지 마세요.]
와... 이거 대박이네요. 자칫하면 넘어가겠습니다. 사례공유 감사합니다.
와 이건 정말 엄청나네요 저라면 속았을것같아요ㄷ
무섭네여 ㅡㅡ
정보 공유 감사 합니다. 조심 해야 되겟네요
요즘 매일 모르는 번호서 전화오는데
아에 안받고 있어요.. 메세지도 안남기는걸 보아, 스캠 같더라구요
와... 무섭네요.
정보 감사합니다.
와...이건 정말 당하기 쉬운데요. 이런다음에 다른 사이트 계정을 털려 하는건가요? 아니면 VZW에서 뭘 주문할려고 하는걸까요...
처음에 전화 받으면 혹시 갈빗살을 아니? 그러면서 그 갈빗살이 뉴욕 이런 주소로 아이폰 두개를 오더했어? 이거 너가 동의 한거니? 이러면서 아니라고 하면 패스워드 리셋이 들어갑니다. 그 중간에 이미 저의 어카운트에 다 접속이 가능하기 때문에 그 즉시 아이폰 오더를 그 갈빗살의 뉴욕 주소로 했더라구요. 그러고는 저보고는 너가오더했다고 하는 문자에 예스 해야 이거 캔슬 할수 있다고 하드라구요. 그리고 그 오더가 들어간 순간 부터 실제 버라이존에서 전화가 계속 왔습니다. 문제는 한 번호가 막 5 자리 밖에 안되는 번호로 와서 도대체 누굴 믿어야 하나. 싶더라구요 다행이 마지막에 노! 해서 다행이었어요.
와 이건정말 대박이네요...
안당하신게 정말 대단하신듯...
이건 꼼짝없이 걸리는거네요. 저도 혹시 저런식으로 문자로 온 인증번호 불러준 적 없는지 걱정이네요. 전에 한 두번 불러준 것 같아서요 ㅠㅠ
인증코드라는 것은 내가 나임을 증명하는 용도로 내가 컨택했을 때만 유효한 것인데, 남이 요청하고 그가 나임을 증명하는 인증코드를 내가 그에게 불러주게 만든 그는 눈 뜬 사람 코도 베는 진정한 기술자인 겁니까? 분명 걸려든 사람도 있을 거 같습니다. 사례 공유 감사합니다.
이거 저도 걸렸습니다. 버라이존 서비스 센터같은대서 전화와서 이러이러한 사람이 니 계좌로 핸드폰 두개를 오더 했는데 맞느냐고 하더라고요. 그래서 아니다 했더니 그러면 일단 이 어카운트를 리셋 해야 한다고 하면서 문자 보내겠다 했어요. 저같은 경우에는 제가 진짜 제정신이 아니었는지, 그 문자가 당연하다고 여겨서 Verification code 불러주기 까지 했습니다. 새 전화나, 컴퓨터로 은행계좌, 뱅가드 들어갈때 핸드폰으로 문자 오는 그거 생각했었나봐요. 그래서 그거 다 불러주고 마지막에는, urgent action required 해서 너가 이런 핸드폰 오더 했냐고 하길래 no 했죠. 그랬더니 그 사람이 아니다 너가 yes 를 해야 내가 이 오더 캔슬 한다 하길래 그 때서야 정신이 나서 아 이거 스캠이구나 해서 끊었습니다. 그리고 그 남자와 통화하는 동안 내내 계속 버라이존에서 전화오더라구요. 저같은 경우에는 아이폰 두개 합쳐서 이천불이나 되었고 나중에 보니까 쉬핑은 용커스 주소였습니다. 몇주 뒤에 버라이존에서 제 케이스 조사하고 있다고 메일이 왔었습니다. 저는 저만 이런줄 알았는데 아니었네요. 다들 조심하시고 , 그냥 모르는 번호는 안받은게 최고인거 같아요. 중요한 전화는 다 보이스메일 남기니까 그거 듣고 전화해도 괜찮은거 같아요.
본 글을 읽고 있으니 오싹하네요. 이정도면 안빠져드는게 신기할 정도인데요. 그나저나 오더 캔슬한다에서 예스 노우는 왜 필요한거였을까요? 그리고 갈빗살님은 어떤 촉으로 이게 좀 이상하다 생각되신거예요? 갈빗살님도 대단하십니다.
yes!를 녹음해서 재사용할 것 같아요. 요즘 번호 누르는 대신 Yes, no를 말하라는 통화 몇번 했네요.
와... 경험 공유해 주셔서 감사합니다! 저도 간당간당 했네요!
요새 spam 이 2-step verification 을 우회하는 방식으로 진행되는거 같아요. 비밀번호 리셋하면 전화 text로 verification code를 보내는데, 그걸 가로채려고 하는것 같습니다.
전화를 끊고 버라이즌 혹은 던롸온 회사 공홈 전번으로 다시 해서 확인해야겠네요 ㄷㄷㄷ
근데 궁금한게 버라이존을 리셋해서 할수 있는게 모가있을까요 버라이존 들어가서 상점에서 물건결제 가능한가요? 카드 등록되있으면?
은행 계정들을 포함해서 two-step verification 필요한 것들, 핸드폰 털리면 다 털린다고 하더라구요.
대단하네요;; 앞으로 무조건 이메일로 연락달라고 해야겠습니다. 저도 보안은 좀 자신있어 하는 편인데.. 이런식으로 나오면 속수무책이겠는데요? ㄷㄷㄷ;
와 생각지도 못했던 수법인데요. 주위에도 알려줘야겠어요.
정보 감사합니다.
정말 무섭네요... 이래서 모르는번호 전화받기가 두려워요..
경험 공유해 주셔서 감사합니다~ 조심해야겠네요
사례 감사합니다. 수법이 점점 지능적으로 되네요. 아무튼 조심하는 방법 밖에는 다른 뽀죡한 수가 없어보이네요.
이제 이해했습니다. Verification code가 강력한 본인인증 수단이라는 점을 파고드는 스캠이군요. VC는 확실한 사이트나 수단을 통해 내가 직접 입력하는거지, 타인 혹은 확인되지 않은 프로그램 / 사이트에 전해주는 일은 절대 없어야한다고 기억해둬야겠습니다. VZW의 문자에 "Verizon will never contact you for this code"라는게 그 뜻일테고요. 모르는 번호에서 (혹은 이상한 / 내 번호에서) 연락 오면 일단 의심의 안테나를 높이 세우고, 조금이라도 이상하면 전화번호 받아뒀다가 내가 직접 연락하는 쪽으로 마인드 트레이닝 해둬야겠고요.
근데 VZW의 password reset 방식이 너무 허술한거 아닌가요. 전화번호와 zip code만으로 가능하다니요. 그러면 주변 지인들 계정을 쉽게 공격할 수 있지 않나요? 과거 거주지나 security question같은, 별도로 알아내기 매우 힘든 추가 정보 확인 없이 reset이 된다면 그 자체로 큰 문제같아보이네요.
이런 정보 매우 감사합니다.
가족들에게 전파하도록 하겠습니다. ㅎㅎㅎ
무섭네요. 경험 공유해주셔서 감사합니다.
와..... 이젠 전화는 내가 거는 쪽으로 해야겠네요...
이제 이글을 읽고 충격 받았네요. 제가 모르는 번호 안받아요. 그러다가 아들 핸드폰 뺏고 아들이 학교 끝날 즈음 친구 번호로 픽업 해달라고 혹은 몇 분후에 픽업 해달라고 전화 올거 같으면 가끔 받거든요. 종종 아들 폰을 뺏었는데 이젠 뺐지 말고 아둘과 아들 폰으로만 연락 해야 하나 싶은 생각이 먼저 들고 그 다음으로 이게 발전 해서 어떤 기법으로 개인정보를 가져가려고 할까 점점 섬짓해지네요... 한번 노출 되면 뭐 부터 연락해서 일을 해결 해야하는지도 캄캄하구요... 비번이 차단 될텐데 말입니다.
공유 감사합니다.
레딧인가 에서도 비슷한 경우를 봤는데. 정신없을때 (밖에 나가있을때) 2FA 패스코드 요청해서 해킹하는 스캠이 요즘 많은가 보네요. (제가 본거는 은행 로그인).
티모빌은 누가 맘대로 번호를 트랜스퍼 해가서 그거 뒷수습하느라 고생했다는 얘기도 들었고요. 대부분이 인증기 방식을 핸폰 문자로 하다 보니까 잘 모르는 분들께는 오히려 취약해진거 같습니다.
와 이거 저도 당하겠는데요 무섭네요 ㄷㄷ..
댓글 [27]