크립토 피싱 사기: 사용자가 보호를 받을 수 있는 방법
출처 cointelegraph 저자 앤서니 클라크 소스:EK 이페어케이 플러스
크립토 피싱 사기꾼이 사용하는 다양한 기술과 사용자를 보호할 수 있는 방법을 살펴봅니다
디지털 자산이 교환되고 부를 축적할 수 있는 빠르게 변화하고 끊임없이 진화하는 암호화폐 세계에서 노련한 투자자와 신규 이민자 모두의 안전을 위협하는 숨어 있는 위험인 암호화폐 피싱 사기가 있습니다.
이러한 사기는 개인의 신뢰와 취약성을 악용하여 민감한 정보를 공개하거나 힘들게 번 암호화폐 보유와 이별하도록 속이는 것을 목표로 합니다.
암호화폐의 인기가 계속 높아짐에 따라 사이버 범죄자들이 사용하는 피싱 기술의 정교함도 높아지고 있습니다. 합법적인 거래소 및 지갑을 사칭하는 것부터 강력한 사회 공학 전술을 만드는 것까지, 이러한 사기꾼은 디지털 자산에 대한 무단 액세스를 얻기 위해 어떤 일도 서슴지 않습니다.
악의적인 행위자는 다양한 사회 공학 방법을 사용하여 피해자를 표적으로 삼습니다. 사회 공학 전술을 통해 사기꾼은 사용자의 감정을 조작하고 신뢰감과 긴박감을 조성합니다.
비수탁형 월렛 스마트 월렛인 기디(Giddy)의 CEO이자 공동 설립자인 에릭 파커(Eric Parker)는 코인텔레그래프와의 인터뷰에서 "누군가 당신이 묻지 않고 당신에게 연락했는가? 그것은 당신이 사용할 수 있는 가장 큰 경험 법칙 중 하나입니다. 고객 서비스는 사전에 연락하는 경우가 거의 없으므로 계정에 대한 조치를 취해야 한다는 메시지를 항상 의심해야 합니다."
"공짜 돈과 같은 생각: 누군가가 당신에게 공짜 돈을 주고 싶어서 당신에게 메시지를 보낸다면, 그것은 진짜가 아닐 가능성이 높습니다. 사실이라고 하기에는 너무 기분이 좋거나 즉각적인 긴박감이나 두려움을 주어 신속하게 행동하게 만드는 메시지를 조심하십시오."
이메일 및 메시징 사기
크립토 피싱 사기에 사용되는 일반적인 기술 중 하나는 암호화폐 거래소나 지갑 제공업체와 같은 신뢰할 수 있는 기관을 사칭하는 것입니다. 사기꾼은 유사한 브랜딩, 로고 및 이메일 주소를 사용하여 이러한 합법적인 조직에서 보낸 것처럼 보이는 이메일이나 메시지를 보냅니다. 그들은 수신자를 속여 통신이 신뢰할 수 있는 출처에서 온 것이라고 믿게 만드는 것을 목표로 합니다.
이를 달성하기 위해 사기꾼은 이메일 스푸핑과 같은 기술을 사용하여 보낸 사람의 이메일 주소를 위조하여 합법적인 조직에서 보낸 것처럼 보이게 할 수 있습니다. 그들은 또한 사회 공학 전술을 사용하여 메시지를 개인화하고 더 진정성 있게 보이게 할 수 있습니다. 사기꾼은 신뢰할 수 있는 엔터티를 사칭하여 이러한 조직과 관련된 신뢰와 신뢰성을 악용하여 사용자가 보안을 손상시키는 조치를 취하도록 속입니다.
가짜 지원 요청
크립토 피싱 사기꾼은 종종 합법적인 암호화폐 거래소 또는 지갑 제공업체의 고객 지원 담당자로 가장합니다. 그들은 순진한 사용자에게 이메일이나 메시지를 보내 계정에 문제가 있거나 즉각적인 주의가 필요한 보류 중인 거래를 주장합니다.
사기꾼은 사용자에게 로그인 자격 증명 또는 기타 민감한 정보를 입력하라는 메시지를 표시하는 연락 방법 또는 가짜 지원 웹 사이트에 대한 링크를 제공합니다.
암호화폐 보안 브라우저 확장 프로그램인 블록펜스(Blockfence)의 CEO이자 공동 설립자인 오므리 라하브(Omri Lahav)는 코인텔레그래프와의 인터뷰에서 "누군가 당신에게 원치 않는 메시지나 이메일을 보낸다면 그들은 당신에게서 무언가를 원할 가능성이 높다는 것을 기억하는 것이 중요하다. 이러한 링크와 첨부 파일에는 키를 훔치거나 시스템에 액세스하도록 설계된 맬웨어가 포함될 수 있습니다."
"또한 피싱 웹 사이트로 리디렉션 할 수 있습니다. 안전을 위해 항상 발신자의 신원과 이메일의 적법성을 확인하십시오. 링크를 직접 클릭하지 마십시오. URL을 복사하여 브라우저에 붙여넣고 도메인 이름에 철자 불일치가 있는지 주의 깊게 확인하십시오."
사기꾼은 지원 담당자를 사칭하여 합법적인 고객 지원 채널에 대한 사용자의 신뢰를 악용합니다. 또한 문제를 신속하게 해결하려는 욕구를 이용하여 사용자가 기꺼이 개인 정보를 공개하도록 유도하여 사기꾼이 나중에 악의적인 목적으로 사용할 수 있습니다.
가짜 웹사이트 및 복제된 플랫폼
악의적인 행위자는 가짜 웹사이트와 플랫폼을 구축하여 순진한 사용자를 유인할 수도 있습니다.
도메인 이름 스푸핑은 사기꾼이 합법적인 암호화폐 거래소 또는 지갑 제공업체의 이름과 매우 유사한 도메인 이름을 등록하는 기술입니다. 예를 들어 "exchange.com" 대신 "exchnage.com", "myetherwallet" 대신 "myethwallet"과 같은 도메인을 등록할 수 있습니다. 불행히도 이러한 약간의 변형은 순진한 사용자가 쉽게 간과할 수 있습니다.
라하브는 사용자들이 "문제의 웹사이트가 평판이 좋고 잘 알려져 있는지 확인해야 한다"고 말했다.
"악의적인 행위자가 합법적인 사이트의 URL과 매우 유사한 URL을 만드는 경우가 많기 때문에 URL의 철자가 올바른지 확인하는 것도 중요합니다. 사용자는 또한 Google 광고를 통해 발견한 웹사이트가 검색 결과에서 유기적으로 높은 순위를 차지하지 않을 수 있으므로 주의해야 합니다." 라고 그는 말했습니다.
사기꾼은 이러한 스푸핑된 도메인 이름을 사용하여 합법적인 플랫폼을 모방하는 웹사이트를 만듭니다. 그들은 종종 이러한 가짜 웹사이트에 대한 링크가 포함된 피싱 이메일이나 메시지를 보내 사용자가 정품 플랫폼에 액세스하고 있다고 믿도록 속입니다. 사용자가 로그인 자격 증명을 입력하거나 이러한 웹사이트에서 거래를 수행하면 사기꾼은 민감한 정보를 캡처하여 이익을 위해 악용합니다.
악성 소프트웨어 및 모바일 앱
해커는 악성 소프트웨어를 사용하여 사용자를 표적으로 삼을 수도 있습니다. 키로거 및 클립보드 하이재킹은 크립토 피싱 사기꾼이 사용자 장치에서 민감한 정보를 훔치는 데 사용하는 기술입니다.
키로거는 사용자가 장치에서 수행하는 모든 키 입력을 기록하는 악성 소프트웨어 프로그램입니다. 사용자가 로그인 자격 증명이나 개인 키를 입력하면 키로거가 이 정보를 캡처하여 사기꾼에게 다시 보냅니다. 클립보드 하이재킹은 장치의 클립보드에 복사된 콘텐츠를 가로채는 것과 관련이 있습니다.
암호화폐 거래에는 종종 지갑 주소 또는 기타 민감한 정보를 복사하여 붙여넣는 작업이 포함됩니다. 사기꾼은 악성 소프트웨어를 사용하여 클립보드를 모니터링하고 합법적인 지갑 주소를 자신의 주소로 바꿉니다. 사용자가 원하는 필드에 정보를 붙여넣으면 자신도 모르게 사기꾼의 지갑으로 자금을 보냅니다.
사용자가 크립토 피싱 사기로부터 보호받을 수 있는 방법
사용자가 암호화 공간을 탐색하는 동안 자신을 보호하기 위해 취할 수 있는 단계가 있습니다.
2단계 인증(<>FA)을 활성화하는 것은 피싱 사기로부터 암호화 관련 계정을 보호하는 데 도움이 되는 도구 중 하나입니다.
2FA는 사용자가 암호 외에 두 번째 형태의 확인(일반적으로 모바일 장치에서 생성된 고유 코드)을 제공하도록 요구하여 추가 보호 계층을 추가합니다. 이렇게 하면 공격자가 피싱 시도를 통해 사용자의 로그인 자격 증명을 얻더라도 액세스 권한을 얻기 위해 두 번째 요소(예: 시간 기반 일회용 암호)가 필요합니다.
하드웨어 또는 소프트웨어 기반 인증자 활용
2FA를 설정할 때 사용자는 SMS 기반 인증에만 의존하기보다는 하드웨어 또는 소프트웨어 기반 인증자를 사용하는 것을 고려해야 합니다. SMS 기반 2FA는 공격자가 사용자의 전화번호를 부정하게 제어하는 SIM 스와핑 공격에 취약할 수 있습니다.
YubiKey 또는 보안 키와 같은 하드웨어 인증자는 일회용 암호를 생성하고 추가 보안 계층을 제공하는 물리적 디바이스입니다. Google Authenticator 또는 Authy와 같은 소프트웨어 기반 인증기는 사용자의 스마트폰에서 시간 기반 코드를 생성합니다. 이러한 방법은 SIM 스와핑 공격에 취약하지 않기 때문에 SMS 기반 인증보다 안전합니다.
웹 사이트 신뢰성 확인
피싱 사기로부터 보호하기 위해 사용자는 이메일, 메시지 또는 기타 확인되지 않은 출처에 제공된 링크를 클릭하지 않아야 합니다. 대신 암호화폐 거래소, 지갑 또는 액세스하려는 기타 플랫폼의 웹사이트 URL을 수동으로 입력해야 합니다.
웹 사이트 URL을 수동으로 입력하면 사용자는 피싱 링크를 클릭하여 가짜 또는 복제된 웹 사이트로 리디렉션되지 않고 합법적인 웹 사이트에 직접 액세스할 수 있습니다.
링크와 첨부 파일에 주의하십시오.
링크를 클릭하기 전에 사용자는 마우스 커서를 링크 위로 가져가 브라우저의 상태 표시줄 또는 도구 설명에서 대상 URL을 확인해야 합니다. 이를 통해 사용자는 링크의 실제 목적지를 확인하고 예상 웹사이트와 일치하는지 확인할 수 있습니다.
피싱 사기꾼은 종종 대상과 다른 URL 텍스트를 표시하여 링크를 위장합니다. 링크 위로 마우스를 가져가면 사용자는 피싱 시도를 나타낼 수 있는 불일치 및 의심스러운 URL을 감지할 수 있습니다.
파커는 코인텔레그래프와의 인터뷰에서 "이메일의 기본 링크를 위조하는 것은 매우 쉽다. 사기꾼은 이메일 텍스트에 하나의 링크를 표시하지만 기본 하이퍼링크를 다른 것으로 만들 수 있습니다."
"크립토 피싱 사기꾼들 사이에서 가장 좋아하는 사기는 평판이 좋은 웹사이트의 UI를 복사하지만 로그인 또는 월렛 커넥트 부분에 악성 코드를 삽입하여 비밀번호를 도난당하거나 더 심하게는 시드 문구를 도난당하는 것입니다. 따라서 로그인하거나 암호화폐 지갑을 연결하는 웹사이트 URL을 항상 다시 확인하십시오."
바이러스 백신 소프트웨어로 첨부 파일 검사
사용자는 특히 신뢰할 수 없거나 의심스러운 출처에서 첨부 파일을 다운로드하고 열 때 주의해야 합니다. 첨부 파일에는 키로거 또는 트로이 목마를 포함한 맬웨어가 포함될 수 있으며, 이는 사용자의 장치 및 암호 화폐 계정의 보안을 손상시킬 수 있습니다.
이러한 위험을 완화하기 위해 사용자는 모든 첨부 파일을 열기 전에 평판이 좋은 바이러스 백신 소프트웨어로 검사해야 합니다. 이를 통해 잠재적인 맬웨어 위협을 탐지하고 제거하여 피싱 공격의 희생양이 될 가능성을 줄일 수 있습니다.
소프트웨어 및 앱을 최신 상태로 유지
운영 체제, 웹 브라우저, 장치 및 기타 소프트웨어를 최신 상태로 유지하는 것은 사용자 장치의 보안을 유지하는 데 필수적입니다. 업데이트에는 알려진 취약성을 해결하고 새로운 위협으로부터 보호하는 보안 패치가 포함될 수 있습니다.
평판이 좋은 보안 소프트웨어 활용
피싱 사기 및 맬웨어에 대한 보호 계층을 추가하려면 사용자는 장치에 평판이 좋은 보안 소프트웨어를 설치하는 것을 고려해야 합니다.
바이러스 백신, 맬웨어 방지 및 피싱 방지 소프트웨어는 피싱 이메일, 가짜 웹 사이트 및 맬웨어에 감염된 파일을 비롯한 악의적인 위협을 탐지하고 차단하는 데 도움이 될 수 있습니다.
평판이 좋은 소프트웨어를 사용하여 보안 검사를 정기적으로 업데이트하고 실행함으로써 사용자는 피싱 사기의 피해자가 될 위험을 최소화하고 장치 및 암호화폐 관련 활동의 전반적인 보안을 보장할 수 있습니다.
자신을 교육하고 최신 정보를 얻으십시오.
크립토 피싱 사기는 끊임없이 진화하고 새로운 전술이 정기적으로 등장합니다. 사용자는 암호화폐 커뮤니티를 대상으로 하는 최신 피싱 기술과 사기에 대해 스스로 교육하기 위해 주도권을 잡아야 합니다. 또한 최근 피싱 사건 및 보안 모범 사례에 대해 조사하고 읽어 최신 정보를 얻으십시오.
보안 관련 뉴스에 대한 최신 정보를 유지하고 피싱 사기에 대한 적시 경고를 받으려면 사용자는 암호화폐 커뮤니티의 신뢰할 수 있는 출처를 따라야 합니다. 여기에는 암호화폐 거래소, 지갑 제공업체 및 평판이 좋은 사이버 보안 조직의 공식 발표 및 소셜 미디어 계정이 포함될 수 있습니다.
신뢰할 수 있는 출처를 따르면 사용자는 새로운 피싱 사기, 보안 취약성 및 암호화 자산 보호를 위한 모범 사례에 대한 정확한 정보와 경고를 받을 수 있습니다.
저자
앤서니 클라크 Anthony Clarke는 2017년부터 작가이자 투자자로서 암호화폐 공간에 참여해 왔습니다. 암호화 공간에 참여한 이후 그는 블록체인 생태계의 많은 새로운 응용 프로그램, 기술 및 도구에 매료되었습니다. Anthony는 블록체인 기술, Defi, NFT, P2E 게임 및 기타 여러 주제에 큰 관심을 가지고 있습니다.