2024년 파리 올림픽에 대한 기대감이 커짐에 따라 이를 악용하는 악성 활동도 증가하고 있다. 최근 확인된 가장 주목할 만한 사기 중 하나는 "티켓 하이스트(Ticket Heist)" 작전으로, 700개 이상의 도메인을 사용하여 가짜 티켓을 판매하는 사기 행위이다.
티켓 하이스트 작전은 주로 러시아어 사용자를 대상으로 한 대규모 사기 캠페인이다. 이 사기 캠페인은 2022년부터 매달 평균 20개의 새로운 도메인을 생성하고, 11월에는 50개의 도메인을 추가하는 등 지속적으로 확대해왔다. 이러한 도메인들은 ticket-paris24[.]com과 tickets-paris24[.]com과 같이 합법적인 티켓 판매 사이트를 흉내 내는 웹사이트를 호스팅하고 있다.
가짜 웹사이트들은 티켓을 상당히 높은 가격에 판매했다. 예를 들어, 공식 사이트에서는 100유로 이하인 티켓이 이러한 사기 사이트에서는 300유로에서 1,000유로에 판매되었다.
사기 웹사이트들은 고품질의 사용자 인터페이스를 사용하지만, 러시아어에서 영어로 잘못된 번역으로 인한 사소한 맞춤법 및 문법 오류가 발견됐다. 거래는 스트라이프(Stripe) 결제로 처리되었고, 이는 신용 카드 정보를 수집하는 것이 아니라 직접적으로 돈을 갈취하는 것을 목표로 한 것이었다.
모든 사기 도메인은 동일한 IP 주소에서 호스팅되었으며, 이는 여러 악성 활동과 연결되어 있다. 각 웹사이트는 고유한 SSL 인증서를 가지고 있지만, 도메인 구조와 공통 자바스크립트 파일의 패턴을 통해 연구자들은 708개의 도메인 네트워크 전체를 발견할 수 있었다.
보안연구자들은 사이버 보안 커뮤니티가 추가적인 피해를 방지하기 위해 사용할 수 있는 침해 지표(IoCs) 세트를 제공했다. 이러한 지표는 잠재적 피해자들이 이 광범위한 사기 네트워크에 속지 않도록 보호하는 데 중요한 역할을 하고 있다.
티켓 하이스트 작전은 올림픽뿐만 아니라 UEFA 유럽 챔피언십과 유명 밴드 및 음악가의 콘서트와 같은 이벤트의 가짜 티켓도 판매했다.
사이버 범죄 수사관들은 사기 사이트를 적극적으로 모니터링하고 폐쇄하고 있다. 예를 들어, 프랑스 국가 헌병대는 올림픽 관련 사기 사이트를 다수 확인하고 차단했다고 보고했다.
티켓 하이스트 작전은 주요 글로벌 이벤트를 활용하여 정교한 사기를 실행하는 사이버 범죄의 지속적이고 진화하는 특성을 잘 보여준다. 2024년 파리 올림픽이 다가옴에 따라, 티켓 구매자들은 주의 깊게 정상적인 웹사이트인지 확인하고, 공식 티켓 판매 플랫폼만을 이용해야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★