일회용 비밀번호(OTP)를 훔치는 전문 서비스를 제공하는 처음이자 마지막 서비스라는 슬로건을 내걸고 은행이 사기나 부정 행위를 방지하기 위해 도입한 보안 시스템을 우회하는 서비스를 월정액제로 범죄자들에게 제공하던 용의자 3명이 유죄를 인정한 것으로 밝혀졌다.
영국 국가범죄수사국(National Crime Agency)에 따르면 문제가 된 서비스인 OTP에이전시(OTP.Agency)를 운영한 인물은 칼럼 피컬리(22세), 비자야시두르샨 비자야나산(21세), 아자 시디크(19세) 등 3명이다.
이 서비스는 은행 계좌 소유자에게 진짜 일회용 비밀번호를 공개하도록 유도하거나 기타 개인 식별 정보를 얻기 위해 소셜 엔지니어링을 수행한 뒤 입수한 정보를 범죄자에게 판매하는 방식이었다.
기본 요금제는 주당 30파운드로 HSBC, 몬조(Monzo), 로이즈(Lloyds) 같은 주요 은행 플랫폼 다중 인증 시스템을 우회해 사기성 온라인 거래를 완료할 수 있는 서비스를 제공했다. 또 주당 380파운드인 엘리트 요금제는 비자와 마스터카드에 대한 접근 권한도 포함되어 있었다.
영국 국가범죄수사국의 사이버 수사관 조사에 따르면, 이 서비스는 3명이 체포되고 사이트가 폐쇄된 2021년 3월까지 약 1년 반 동안 12,500명 이상을 대상으로 활동했습니다.
이 그룹이 정확히 얼마나 많은 수익을 올렸는지는 밝혀지지 않았지만 기본 요금제를 기준으로 하면 3만 파운드, 엘리트 요금제를 기준으로 하면 790만 파운드에 이를 것으로 추정된다.
한편 OTP에이전시는 폐쇄됐지만 유사한 서비스는 여전히 존재하기 때문에 전문가는 주의를 당부하고 있다. 관련 내용은 이곳에서 확인할 수 있다.