스캠 조심하기: 디지털 환경에서의 자산 보호
CryptoCounsel
-
- 4
소개
암호화폐 공간은 혁신과 투자 기회의 핫스팟이 되었습니다. 그러나 탈중앙화된 금융과 디지털 자산의 잠재력과 함께 피싱이라는 위협도 숨어 있습니다. 보고서에 따르면 최근 몇 년간 암호화폐 업계에서 피싱 공격이 300%나 급증하여 투자자와 열성 지지자 모두에게 심각한 위험을 초래하고 있습니다.
피싱이란?
피싱(Phishing)은 사이버 범죄자들이 로그인 자격 증명, 개인 신원 정보 또는 금융 데이터와 같은 민감 정보를 유출하도록 개인을 속이기 위해 사용하는 악의적인 수법입니다. '피싱’이라는 용어는 공격자가 의심하지 않는 피해자를 낚아채기 위해 디지털 영역에 미끼를 던지는 '낚시’의 비유에서 유래했습니다.
크립토 피싱의 메커니즘:
가짜 웹사이트 및 도메인 스푸핑:
공격자는 합법적인 암호화폐 플랫폼과 매우 유사한 위조 웹사이트를 만듭니다. 공격자들은 종종 도메인 스푸핑(Spoofing)과 같은 수법을 사용하는데, 잘 알려진 암호화폐 서비스와 유사한 도메인 이름을 약간의 철자 수정이나 변경을 통해 등록합니다. 예를 들어, “exchange. com” 대신 "exhange. com"과 같은 도메인을 등록합니다. 이러한 가짜 웹사이트는 사용자가 로그인 자격 증명, 개인 키 또는 지갑 주소를 입력하도록 유도하기 위해 만들어집니다.
사회 공학 기법:
사회 공학은 암호화폐 피싱 공격에서 중요한 역할을 합니다. 공격자는 심리적인 조작을 통해 사용자를 속여 민감 정보를 공개하도록 유도합니다. 여기에는 개발자나 인플루언서 등 암호화폐 커뮤니티 내에서 신뢰할 수 있는 인물로 사칭하는 것이 포함될 수 있습니다. 피싱 공격자들은 이메일, 소셜 미디어 또는 메시징 플랫폼과 같은 다양한 커뮤니케이션 채널을 통해 피해자가 개인 키, 시드 문구 또는 기타 인증 자격 증명을 공개하도록 유인하는 설득력 있는 메시지를 작성합니다.
ICO 및 토큰 판매 사기:
ICO 및 토큰 판매 사기는 사기꾼이 가상의 프로젝트나 토큰을 만들어 투자자를 속이는 또 다른 일반적인 형태의 암호화폐 피싱입니다. 이러한 사기는 종종 정교한 마케팅 캠페인과 백서를 사용하여 의심하지 않는 개인을 유인하고 높은 수익률이나 독점적인 투자 기회를 약속합니다. 그러나 사기 프로젝트가 시작되면 투자자들은 자신의 자금이 빠져나가고 쓸모없는 토큰만 남게 된다는 사실을 알게 됩니다.
악성 소프트웨어(멀웨어):
피싱 공격에는 키로거, 원격 액세스 트로이목마(RAT) 또는 피싱 키트를 포함한 멀웨어 배포도 포함될 수 있습니다. 키로거는 피해자의 디바이스에서 키 입력을 기록하여 비밀번호, 시드 문구 또는 지갑 주소와 같은 민감 정보를 캡처하도록 설계됩니다. 원격 액세스 트로이 목마는 공격자가 피해자의 디바이스에 무단으로 액세스하여 활동을 모니터링하고 트랜잭션을 조작하거나 원격으로 자금을 훔칠 수 있게 해줍니다. 피싱 키트는 가짜 웹사이트나 이메일 캠페인을 만드는 과정을 간소화하는 사전 패키지 도구로, 공격자가 대규모 피싱 작업을 쉽게 할 수 있도록 도와줍니다.
피싱 공격의 결과:
자금 손실:
공격자가 피해자의 민감 정보를 입수하면 암호화폐 지갑이나 거래소 계정에 무단으로 접근할 수 있습니다. 공격자는 탈취한 인증 정보를 사용하여 무단 트랜잭션을 생성하여 피해자의 자금을 자신의 지갑으로 이체합니다. 이러한 트랜잭션은 종종 되돌릴 수 없어 영구적인 자산 손실로 이어질 수 있습니다.
신원 도용 및 데이터 유출:
피해자는 금전적 손실 외에도 신원 도용이나 데이터 유출로 인해 고통을 겪을 수 있습니다. 피싱 공격자는 이름, 주소, 주민등록번호와 같은 개인 정보를 수집할 수 있으며, 이는 암호화폐 영역을 넘어 추가적인 사기 행위에 사용될 수 있습니다.
보안 침해:
피싱 공격은 피해자의 디지털 계정의 보안을 손상시켜여 추가적인 침해나 악용에 취약한 상태로 만듭니다. 공격자가 한 계정에 액세스 권한을 얻으면 손상된 자격 증명을 활용하여 피해자와 관련된 다른 온라인 계정에 침투하여 공격의 범위를 확대할 수 있습니다.
완화 및 예방을 위한 전략:
고급 인증 메커니즘:
다중 인증(MFA) 또는 생체 인증과 같은 고급 인증 메커니즘을 구현하여 보안을 강화하여 무단 액세스를 차단하세요. MFA는 사용자가 비밀번호와 모바일 디바이스로 전송되는 일회용 코드 등 여러 형태의 인증을 제공하도록 요구하므로 계정 유출의 위험을 크게 줄여줍니다.
보안 통신 프로토콜:
HTTPS와 같은 보안 통신 프로토콜을 사용하여 사용자의 디바이스와 온라인 서비스 간의 데이터 전송을 암호화합니다. 전송 중 민감 정보를 암호화함으로써 HTTPS는 악의적인 공격자에 의한 가로채기나 도청의 위험을 완화합니다.
보안 인식 교육:
일반적인 피싱 기법, 경고 신호, 피싱 사기를 식별하고 피하기 위한 모범 사례에 대해 사용자에게 교육하세요. 정기적인 보안 인식 교육 세션을 실시하여 사용자가 새로운 위협으로부터 자신을 보호하는 데 필요한 지식과 기술을 갖출 수 있도록 합니다.
대형 피싱 사건 사례:
비트파이넥스 해킹(2016):
당시 가장 큰 암호화폐 거래소 중 하나였던 Bitfinex는 보안 침해로 인해 사용자 계정에서 약 7,200만 달러 상당의 비트코인이 도난당하는 사고를 겪었습니다. 이 보안 침해는 비트파이넥스의 보안 인프라의 취약점으로 인해 발생했으며, 암호화폐 업계에서 강력한 사이버 보안 조치의 중요성을 강조했습니다.
트위터 비트코인 사기(2020):
이 유명한 트위터 해킹 사건에서 공격자들은 일론 머스크, 버락 오바마, 빌 게이츠와 같은 저명인사를 포함한 수많은 인증된 사용자의 계정을 탈취했습니다. 공격자들은 탈취한 계정을 사용하여 비트코인 경품 사기를 조직하고 팔로워들에게 투자금을 두 배로 늘려주겠다는 거짓 약속과 함께 지정된 주소로 암호화폐를 보내도록 유도했습니다. 이 사기는 인증된 트위터 계정과 관련된 신뢰를 악용한 것으로, 잘 알려진 개인도 피싱 범죄자들이 사용하는 소셜 엔지니어링 전술에 취약하다는 것을 보여줍니다.
마무리 생각
암호화폐 피싱의 기술적 복잡성을 이해함으로써 사용자는 이러한 만연한 위협으로부터 자신을 더 잘 보호하고 암호화폐 생태계의 회복력을 높이는 데 기여할 수 있습니다. 개인과 조직은 사전 보안 조치, 강력한 인증 메커니즘, 지속적인 인식 제고 노력을 통해 피싱 사기의 피해를 줄일 수 있으며 디지털 자산을 효과적으로 보호할 수 있습니다.
면책 조항: 여기에 제공된 정보 또는 기타 자료는 법률, 세금, 투자, 재무 또는 기타 형태의 조언으로 해석될 수 없음을 알려드립니다. 에무르고 미디어(카르다노 스팟)는 여기에 포함된 어떠한 내용도 관련 토큰 또는 기타 암호화 자산의 투자, 구매 또는 판매에 대한 권유, 추천, 보증 또는 제안으로 해석될 의도가 없습니다.
참조:
- 암호화폐를 이용한 피싱 공격- Doubloin
- Web3에 흥분하기 전에 주의해야 할 4가지 암호화폐 및 블록체인 피싱 사기 - 포브스
- 암호화폐 피싱 공격 - 101 블록체인
- 암호화폐 교환 시 피싱 공격을 방지하는 방법: StealthEX 블로그
* Source: Cardano Spot | Understanding and Preventing Phishing in the Crypto Space
* Translation: Ilhun@CryptoVeri enics_sky@naver.com
1 post - 1 participant