스톰캐스트 : Salami Attack

Salami Attack
xeraph	작성 일시 : 2008-06-13 15:21:02
Salami Attack은 관리자가 눈치채지 못할만큼 아주 작은 공격을 연결해서 커다란 공격을 수행하는 기법을 뜻합니다. 가장 유명한 예는 인터넷 뱅킹과 같은 각종 재무 시스템을 대상으로 한 공격입니다. 재무 트랜잭션이 발생할 때 1센트에 가까운 값이 반올림 되는 것을 이용하여, 아주 적은 양의 돈을 지속적으로 훔치는 것입니다. 이 기법은 "penny shaving"으로도 불립니다. 이론적으로만 가능한 것이 아니라 실제로 2008년 5월 28일 PC Pro 잡지에 $50,000을 Salami Attack으로 벌어들인 해킹 사건이 실린 적이 있습니다. E-trade나 Schwab 같은 회사들은 온라인 중개 거래 계정을 개설할 때 보통 몇 센트에서 몇 달러 정도 되는 얼마 안 되는 양의 지불을 전송해서 사용자가 실제로 은행 계정에 접근 권한을 가지고 있는지 검증합니다. Google Checkout이나 Paypal 같은 서비스들도 마찬가지 방법을 사용하고 있습니다. 캘리포니아에 거주하는 Michael Largent 씨는 자동화 된 스크립트를 이용하여 5만 8천개의 계정을 개설한 다음, 여기에 들어오는 돈을 개인 계좌로 이체했습니다. Google의 Checkout 서비스에도 동일한 방법을 사용해서 $8,000 이상의 돈을 긁어모았습니다. Largent 씨는 약관대로 서비스를 사용했을 뿐이라고 주장했지만, 계좌 개설에 가짜 이름, 가짜 주소, 가짜 사회보장번호 등을 사용한 것으로 드러나면서 유죄 판결을 받았습니다. 자세한 내용은 아래 링크를 참조하시기 바랍니다. http://www.pcpro.co.uk/news/201252/hacker-takes-50000-a-few-cents-at-a-time.html * 참고문헌 http://en.wikipedia.org/wiki/Salami_attack http://all.net/CID/Attack/papers/Salami2.html

Salami Attack은 관리자가 눈치채지 못할만큼 아주 작은 공격을 연결해서 커다란 공격을 수행하는 기법을 뜻합니다.

가장 유명한 예는 인터넷 뱅킹과 같은 각종 재무 시스템을 대상으로 한 공격입니다. 재무 트랜잭션이 발생할 때 1센트에 가까운 값이 반올림 되는 것을 이용하여, 아주 적은 양의 돈을 지속적으로 훔치는 것입니다. 이 기법은 "penny shaving"으로도 불립니다.

이론적으로만 가능한 것이 아니라 실제로 2008년 5월 28일 PC Pro 잡지에 $50,000을 Salami Attack으로 벌어들인 해킹 사건이 실린 적이 있습니다. E-trade나 Schwab 같은 회사들은 온라인 중개 거래 계정을 개설할 때 보통 몇 센트에서 몇 달러 정도 되는 얼마 안 되는 양의 지불을 전송해서 사용자가 실제로 은행 계정에 접근 권한을 가지고 있는지 검증합니다. Google Checkout이나 Paypal 같은 서비스들도 마찬가지 방법을 사용하고 있습니다.

캘리포니아에 거주하는 Michael Largent 씨는 자동화 된 스크립트를 이용하여 5만 8천개의 계정을 개설한 다음, 여기에 들어오는 돈을 개인 계좌로 이체했습니다. Google의 Checkout 서비스에도 동일한 방법을 사용해서 $8,000 이상의 돈을 긁어모았습니다. Largent 씨는 약관대로 서비스를 사용했을 뿐이라고 주장했지만, 계좌 개설에 가짜 이름, 가짜 주소, 가짜 사회보장번호 등을 사용한 것으로 드러나면서 유죄 판결을 받았습니다.

자세한 내용은 아래 링크를 참조하시기 바랍니다.
http://www.pcpro.co.uk/news/201252/hacker-takes-50000-a-few-cents-at-a-time.html

* 참고문헌
http://en.wikipedia.org/wiki/Salami_attack
http://all.net/CID/Attack/papers/Salami2.html

최근 글

최근 덧글