“FTX 해킹 후의 교훈” 피싱 공격은 모든 디지털 자산 보유자를 덮칠 것이다
본 문서는 일반 사용자가 피싱 공격을 어떻게 방지할 수 있는지에 대해 설명합니다.11월 12일, FTX 거래소가 해킹 공격을 받아 1억 8900만 달러의 다양한 자산이 도난당했습니다. 동시에 FTX의 메인 사이트도 공격을 받았으며, 앱 다운로드 링크가 공격 프로그램으로 교체되었습니다. 사용자가 앱을 다운로드하거나 업데이트하고 사용하게 되면 자신의 사용자 이름과 비밀번호를 잃게 되며, 동시에 FTX 거래소에 있는 모든 등록 정보가 도난당하게 됩니다.
이 사건의 영향은 빠르게 확산되었으며, 12일 주말 동안 모니터링된 피싱 사이트의 수가 급증했습니다.
또한 여러 프로젝트나 거래소에서 공지를 발표하여 사용자에게 다양한 형태의 피싱 공격에 주의할 것을 알렸습니다.
앞으로 피싱 공격은 모든 디지털 자산 보유자를 대상으로 할 것이며, 사용자가 중앙화 거래소에 있든 탈중앙화 애플리케이션에 있든 상관없이 발생할 것입니다.
공격자는 사용자 정보를 통해 어떻게 피싱 공격을 하는가?
공격자는 중앙화 거래소를 공격하여 사용자의 전화번호, 신원 정보, 자주 사용하는 이메일 등 중요한 자료를 얻을 수 있으며, 이러한 자료는 암시장에서 추가로 확산되어 더 많은 사기 공격자에게 전달됩니다;
공격자는 이러한 정보를 통해 사용자와의 연락을 구축할 수 있습니다. 예를 들어 사용자의 소셜 계정을 찾아 문자 메시지나 이메일을 보냅니다;
사용자의 불안 심리나 사용 습관을 이용하여 "귀하의 계정에 위험이 감지되었습니다. 빠르게 확인해 주세요"와 같은 내용을 보내어 사용자가 클릭하여 가짜 중앙화 거래소에 비밀번호를 입력하게 하거나 가짜 계약에 대한 권한을 부여하도록 유도합니다;
공격자는 사용자 이름과 비밀번호 또는 권한을 얻은 후 쉽게 사용자의 자산을 도난할 수 있습니다.
일반 사용자는 피싱 공격을 어떻게 방지할 수 있을까요?
먼저, 방지 의식을 확립하고, 자신의 상황에 맞춰 기본적인 방지 조치를 마련해야 합니다.
- 자신이 직접 유도하지 않은 문자 메시지나 이메일 링크를 클릭하지 마세요.
사용자가 직접 유도하지 않는 한, 공식적으로 사용자의 정보가 발송되는 경우는 거의 없습니다. 유도란 사용자의 행동에 의해 발생하는 2차 확인 작업을 의미하며, 예를 들어 비밀번호 변경, 거래 확인 등이 있습니다. 하지만 아무것도 하지 않았는데 이메일이나 문자를 받았다면 클릭하지 마세요! 클릭하지 마세요! 클릭하지 마세요!
- 자주 사용하는 웹사이트를 즐겨찾기에 추가하고, 웹사이트가 실제인지 2차 확인하세요.
검색 엔진에서 웹사이트를 검색할 때는 반드시 다른 방법으로 2차 확인을 해야 합니다. 예를 들어 공식 트위터 계정이나 피싱 웹사이트 탐지 도구를 통해 확인해야 합니다(피싱 웹사이트는 결과를 구매하거나 검색 순위를 조작하여 가짜 웹사이트를 진짜 웹사이트보다 앞에 배치할 수 있으므로, 전적으로 신뢰할 수 없습니다).
- APP이나 애플리케이션을 다운로드해야 할 경우, 공식 웹사이트에서 다운로드하는 것이 좋습니다.
일부 애플리케이션 마켓은 다운로드 링크를 제공할 수 있지만, 공격자는 가짜 APP이나 애플리케이션을 애플리케이션 마켓에 등록할 수 있습니다. 해당 애플리케이션 마켓에 안전 검사 메커니즘이 제대로 갖춰져 있지 않다면, 사용자는 여전히 가짜 APP이나 애플리케이션을 다운로드할 위험이 있습니다.
- 커뮤니티 내의 링크를 쉽게 클릭하지 마세요.
공격자는 여러 신분으로 커뮤니티에서 서로 협력하여 가짜 정보를 퍼뜨릴 수 있습니다. 예를 들어 거래소 공식이 해킹당해 접근할 수 없으니, 긴급하게 사용자들이 별도의 링크를 통해 자산을 이동해야 한다고 강조하며, 긴박감을 조성하여 사용자가 그들이 커뮤니티에 게시한 피싱 링크를 클릭하도록 유도합니다.
이상은 공격자가 사용하는 주요 피싱 방식에 대한 내용이며, 논리는 복잡하지 않지만 왜 공격자가 자주 성공하는가?
첫째, 공격 범위가 넓고 사용자 수가 많아 항상 누군가는 빠져나가게 됩니다; 둘째, 사용자의 조급한 심리를 이용하여 사용자의 불안을 유발하고, 사용자에게 생각할 시간을 주지 않으며, 사용자가 공격자의 함정에 빠지면 공격자의 논리에 따라 생각하게 되어 사기를 당하기 쉽습니다.
둘째, 안전 검사 도구를 사용하는 법을 배워야 합니다.
공격자의 공격 방식에서 핵심 단계는 사용자가 가짜 웹사이트를 클릭하도록 유도하는 것입니다. 공격자는 유사한 웹사이트를 퍼뜨려 사용자가 정품 웹페이지를 복사한 가짜 웹사이트에 들어가도록 유도하여 진짜와 가짜를 혼동하게 하고, 사용자의 로그인 정보를 탈취합니다.
사용자가 피싱 웹사이트 인식 도구나 커뮤니티를 사용할 줄 안다면 가짜 웹사이트를 효과적으로 인식할 수 있습니다.
1. PHISHFORT
오래된 피싱 웹사이트 서비스 제공업체로, 피싱 웹사이트 API 서비스를 제공하며, 일반 사용자에게도 브라우저 플러그인을 제공합니다. 피싱 웹사이트 데이터베이스는 지속적으로 업데이트되며, 사용자가 피싱 웹사이트에 접근할 때 PHISHFORT 플러그인은 브라우저를 통해 웹사이트 정보를 인식하고 피싱 웹사이트 여부를 판단합니다. 주요 웹사이트는 모두 포함되며, 소규모 웹사이트의 수록도 지속적으로 업데이트됩니다.
사용 방법:
PHISHFORT 공식 웹사이트에서 플러그인을 다운로드할 수 있습니다.
또한 Chrome 플러그인 스토어에서도 다운로드할 수 있습니다.
- ScamSniffer
상하이 이더리움 해커톤에서 수상한 프로젝트로, Chrome 브라우저 플러그인입니다.
사용 방법:
ScamSniffer 공식 웹사이트에서 다운로드할 수 있습니다.
또한 Chrome 브라우저 플러그인 마켓에서도 ScamSniffer를 찾을 수 있습니다.
https://chrome.google.com/webstore/detail/scam-sniffer/mnkbccinkbalkmmnmbcicdobcmgggmfc?
클릭하여 설치하고 플러그인을 활성화합니다.
플러그인이 실행될 때 피싱 웹사이트를 만나면 팝업으로 알림이 표시됩니다.
알림:
피싱 웹사이트 데이터베이스 업데이트는 후행적입니다. 즉, 피싱 웹사이트가 온라인에 올라오면 즉시 인식되지 않으므로 사용자는 모든 위험을 피할 수는 없으며, 단지 위험 노출을 효과적으로 줄일 수 있습니다.
피싱 웹사이트 인식 규칙은 완전히 정확하지 않으며, 오탐의 가능성이 있습니다.
위의 내용은 모두 GoPluseco에서 제공된 것입니다. GoPluseco는 업계 내 우수한 보안 애플리케이션이나 서비스를 집계하여 사용자에게 최적의 보안 솔루션을 매칭합니다. 보안 관련 문제가 발생했을 때, GoPluseco에 문의해 보세요. 여기서는 질문에 대한 답변을 제공합니다.
