최근 몇 달 동안 암호화폐 프로젝트, 암호화폐 전문가, 정치인, 유명인의 소셜 미디어 계정이 도난당하고 사기성 정보가 게시되는 사례가 점점 더 많아지고 있습니다. 최근 Bitget 직원들 중 일부가 유사한 피싱 공격을 경험했습니다. 계정을 복구한 후, 저희는 미스터리를 점차 풀어 나갔고, 해커들의 새로운 공격 수법이 끊임없이 진화하고 있으며 매우 혼란스럽고 은밀하게 진행되고 있음을 발견했습니다. 따라서 업계 전체의 보안 강화에 도움이 되기를 바라는 마음으로 이 글을 작성했습니다.
Bitget 직원들이 피싱 공격을 받았습니다.
5월 중순, Bitget 사업 개발 담당 직원이 트위터를 통해 파트너로부터 잠재적인 협업에 대해 논의해 달라는 내용의 개인 메시지를 받았습니다. 양측은 신속하게 회의 시간을 합의하고 회의를 진행했습니다. 회의 중 상대방은 설치 파일을 보내주었고, Bitget 직원들에게 기능 테스트라는 명목으로 해당 파일을 체험해 보도록 초대했습니다.
그 후 며칠 동안 해당 직원은 친구와 업계 파트너로부터 이상한 트위터 개인 메시지를 보내셨나요?라는 문의를 받았습니다. 이상 징후를 파악한 후, 그와 Bitget 보안팀은 신속하게 조치를 취하여 연동된 이메일 주소와 기타 정보를 통해 계정을 복구했습니다.
해커들이 암호화폐 트위터 계정을 표적으로 삼아 이익을 얻은 방법
이후 보안 조사에서 우리는 해커의 자세한 공격 방법과 이를 통해 이익을 얻는 방법을 점진적으로 검토했습니다.
1단계: 해커는 자신이 이미 통제하고 있는 소셜 미디어 계정을 통해 피해자에게 개인 메시지를 보내어 협력에 대해 추가로 논의하기 위해 Telegram 계정에 연락하도록 유도합니다.
안전 수칙:
이러한 개인 메시지는 반드시 의심스러운 소규모 계정에서 온 것은 아니며, 검증된 공식 계정에서 온 경우도 있습니다. 그러나 사기성 개인 메시지는 공식 팀에서 보낸 것이 아닙니다.
이 시점에서 해커는 이러한 공식 계정을 조용히 장악하고 피해자들을 다음 사기를 위해 Telegram으로 유도했습니다.
해커는 일반적으로 개인 메시지를 보낸 후 즉시 삭제하므로 해커가 수백 개의 개인 메시지를 보냈더라도 계정 소유자는 그 사실을 알지 못할 수 있습니다.
2단계: 피해자가 해커의 텔레그램에 접속하면 상대방은 온라인 회의를 제안하고 회의에서 특정 문서를 다운로드하고 설치하도록 초대합니다.
안전 수칙:
해커의 텔레그램 계정은 대개 실제 직원인 것처럼 위장합니다. 관련 정보는 링크드인과 같은 플랫폼에서 얻을 수 있습니다. 계정 ID는 실제 직원의 계정 ID와 매우 유사하여 I(대문자 i)와 l(소문자 L)을 혼동할 수 있습니다.
해커는 설치 파일에 악성 코드를 심어 피해자가 이를 설치하도록 속인 뒤, 피해자의 컴퓨터에 접근해 소셜 미디어 계정과 암호화폐 또는 법정 통화 자산을 훔칩니다.
3단계: 해커는 피해자의 기기에 접근한 후, 먼저 자산을 직접 훔치려고 시도합니다. 그런 다음 피해자의 트위터와 텔레그램 계정을 사용하여 새로운 피해자를 찾고, 해당 계정을 통해 트위터 개인 메시지를 보내 해커가 관리하는 텔레그램 계정에 연락하여 후속 사기를 시도하도록 유도합니다.
안전 수칙:
앞서 언급했듯이 해커는 개인 메시지를 보낸 후 즉시 삭제하므로 계정 소유자는 자신의 계정이 해킹당했다는 사실을 알아차리기 어렵습니다.
이는 또한 사기 메시지가 검증된 공식 계정에서 오는 이유를 설명하지만 이러한 계정은 아무런 조치도 취하지 않습니다. 여전히 어둠 속에 있습니다.
4단계: 다음 피해자가 Telegram에서 해커와 접촉하면 해커는 위장한 신원을 기반으로 적절한 사기 방법을 선택합니다.
안전 수칙:
해커가 거래소 직원인 척하면, 대개 피해자를 속여 상장 협조라는 명목으로 돈을 이체하게 합니다.
해커가 프로젝트 직원인 척하면, 대개 피해자를 속여 조기 투자라는 명목으로 돈을 이체하게 합니다.
해커가 투자 기관 직원인 척하면, 투자 협력이라는 명목으로 피해자를 속여 돈을 이체하게 하는 경우가 많습니다.
위장한 신분으로 직접 돈을 벌기에 충분하지 않다면, 이를 발판 삼아 네트워크 내의 다른 사람들을 속여 트로이 목마 프로그램을 설치하게 하고, 이를 통해 상대방의 계정 권한에 접근하여 해커를 위한 새로운 사기 도구가 됩니다.
요약
이 글에서 언급된 해커 공격 및 수익 창출 수법은 해커가 피해자의 기기를 제어하기 위해 트로이 목마(특정 파일 설치)를 이식해야 한다는 점에서 과거와 유사합니다. 그러나 차이점은 해커들이 수법을 크게 개선했다는 것입니다.
검증된 트위터 계정을 통해 피해자에게 개인 메시지를 보내면 신뢰도가 크게 높아져 사기 성공률이 높아집니다.
계정 소유자가 이상 징후를 발견하여 오랫동안 계정에 잠복하지 않도록 개인 메시지를 즉시 삭제하십시오. 과거에는 해커가 계정을 탈취한 후 즉시 사기성 트윗을 게시하여 가짜 활동, 사기 토큰 등을 이용하여 빠르게 수익을 거두는 경우가 있었지만, 이 방법은 계정 소유자와 대중에게 즉시 경고하여 경계심을 고조시킵니다.
해커가 피해자와 소통하는 데 사용하는 텔레그램 계정도 신중하게 위장되어 있으며, 일반적으로 공식 직원의 ID와 매우 유사한 ID를 사용합니다.
유사한 피싱 공격을 식별하고 예방하는 방법
공식 계정에서 온 초대라 하더라도 조심하세요. 초대를 받으면 다른 채널을 통해 초대자의 신원을 확인하세요. 아는 사람이라면 채팅하기 전에 이전 채팅 기록이 남아 있는지 확인하세요.
회의 중 상대방이 보낸 파일을 임의로 다운로드하거나 열지 마세요. Teams나 Zoom과 같은 회의 클라이언트를 설치해야 하는 경우, Teams 또는 Zoom 공식 웹사이트에서 다운로드하세요. 이는 매우 중요합니다.
통신 과정에서는 비디오 및 음성 권한만 허용하세요. 해커가 컴퓨터를 원격으로 제어하는 것을 방지하기 위해 Zoom이나 Teams에 다른 권한을 부여하지 마세요.
통신 중에는 어떤 이유로든 컴퓨터를 비우지 마세요. 필요한 경우 다른 사람과 함께 화면을 볼 수 있습니다. 자리를 비운 동안 해커가 컴퓨터를 조작할 수 있으므로 주의하세요.
니모닉을 컴퓨터나 휴대폰에 백업하지 마시고, 가능한 한 MFA(다중 인증)를 활성화하세요.
금융 관련 휴대폰은 iPhone을 사용하고 최신 버전으로 업그레이드해야 합니다. 잠금 모드를 켜고 외부 통신에는 최대한 사용하지 말고, 업무 및 사교 활동에 사용하는 컴퓨터나 휴대폰과는 분리하여 보관하세요.
계정이 도난당했나요? 신속하게 대응하고 손실을 줄이는 방법
아무리 강력한 보안 조치를 취하더라도 해킹의 위험은 여전히 존재합니다. 계정이 도용되었다는 사실을 알게 되면, 얼마나 신속하게 대응하느냐에 따라 피해 규모가 결정됩니다.
컴퓨터를 끄고, 인터넷 연결을 끊고, 해커가 컴퓨터에 침입하는 것을 신속히 차단하세요.
자금 보안 점검(지갑 승인 관련 시). 공격자가 로컬 지갑(예: 브라우저 플러그인, 개인 키 저장소)에 접근할 수 있습니다. 자산을 즉시 새 지갑으로 이체해야 합니다(개인 키를 다시 생성하고 동일한 니모닉을 사용하지 않는 것이 좋습니다).
다른 기기/이메일에서 계정을 즉시 복구하세요. 계정이 로그인되어 있는 동안 연동된 이메일 주소 또는 휴대폰 번호를 사용하여 로그인하고 비밀번호를 재설정하세요. 그리고 다른 모든 기기 세션에서 즉시 로그아웃하세요. 계정을 복구한 후에는 해커가 계정을 계속해서 조작하지 못하도록 모든 제3자 로그인 권한을 즉시 해제하세요.
주변 사람들에게 알리고 경고하세요. 최근 개인 메시지를 믿지 않도록 주의를 주고, 비정상적인 계정을 표시하여 더 많은 사람들에게 알리고 연쇄 반응을 피하세요.
위의 사례들은 고립된 사례가 아니라, 암호화폐 업계 전체의 모든 사용자가 직면할 수 있는 과제입니다. Bitget은 단순히 보안 메커니즘을 구축하는 데 그치지 않고, 보안 인식을 실질적인 역량으로 전환하기 위해 여러분과 협력하고자 합니다.
