1분기 피싱 공격으로 전 세계 손실이 1.73억 달러에 달하며, 새로운 사기가 방어하기 어렵고 속수무책입니다?

최근, 오코 클라우드 체인은 2024년 3월 보안 월간 보고서를 발표했으며, 전체 네트워크에서 3월의 보안 사건으로 인해 약 1억 9천만 달러의 손실이 발생했습니다. 그 중 피싱 사건의 손실 비율은 16.72%로, RugPull 사건 손실의 9.64%를 훨씬 초과하며, 점차 해커들이 가장 선호하는 새로운 사기 방식으로 자리 잡고 있습니다.
동시에, Scam Sniffer는 3월의 피싱 보고서를 발표했으며, 암호화 분야의 피싱 사기로 인해 7천1백만 달러의 손실이 발생했으며, 이는 2월보다 50% 증가한 수치입니다. 2024년 1분기 동안, 피싱 사기로 인해 총 1억 7천3백만 달러의 손실이 발생했습니다. 이전에 Scam Sniffer는 2023년 암호화폐 피싱 공격으로 인해 32만4천 명의 사용자가 거의 3억 달러의 손실을 입었다고 보고했습니다.

그렇다면, 피싱 공격이란 도대체 무엇인가요? 최근 어떤 프로젝트가 피싱 공격을 받았나요? 일반 사용자는 이러한 사기 수법에 어떻게 대응해야 할까요? 아래 글에서는 이러한 질문에 대한 답변을 드리겠습니다.

피싱 공격의 수단은 도대체 무엇인가? 무한한 공격자의 정체는 누구인가?

"피싱"은 암호화 사용자들을 대상으로 하는 네트워크 사기 수법으로, 공식 웹사이트처럼 위장한 가짜 웹사이트를 만들어 사용자의 권한, 서명 및 암호화 자산을 훔치는 방식입니다. 피싱 공격의 경로는 대개 프로젝트의 공식 트위터 계정이 해킹된 후, 해커가 그 공식 트위터에 유도성 피싱 링크를 게시하여 사용자가 링크를 클릭하고 지갑과 상호작용하도록 유도하여 자산을 직접 훔치는 방식입니다.
간단히 말해, 해커가 프로젝트 측이나 KOL의 트위터 계정을 도용한 후, 가짜 링크를 게시하고 유도성 문구를 덧붙입니다. 사용자는 플랫폼이나 KOL에 대한 신뢰와 이익 유혹으로 인해 자연스럽게 해커의 지시에 따라 일련의 작업을 수행하게 됩니다. 예를 들어, 가짜 웹사이트에 자신의 개인 키, 비밀번호 또는 기타 민감한 정보를 입력하게 됩니다. 이러한 정보가 공격자에게 전달되면 사용자의 자산은 빠르게 도난당하게 됩니다. 무한한 도둑질 행동 뒤에는 거대한 이익 사슬이 숨겨져 있습니다 --- 피싱 공격 소프트웨어 제공업체 및 그 고객, 즉 피싱 공격의 발신자입니다.
현재 피싱 공격을 언급할 때 많은 업계 종사자들이 가장 먼저 떠올리는 것은 사기 집단 Pink Drainer입니다. Pink Drainer 팀은 트위터와 디스코드 등 플랫폼에서의 고조된 공격으로 악명 높으며, Evomos, Pika Protocol 및 Orbiter Finance와 같은 사건에 연루되어 있습니다.
Pink Drainer는 악의적인 공격자에게 악성 소프트웨어를 서비스(Malware-as-a-Service, MaaS) 형태로 제공하여, 상대방이 악성 피싱 웹사이트를 신속하게 구축할 수 있도록 합니다. 이 악성 소프트웨어를 통해 불법 자산을 획득할 수 있습니다.
블록체인 보안 회사 Beosin은 이 피싱 웹사이트가 암호화 지갑 훔치기 도구를 사용하여 사용자가 요청을 서명하도록 유도한다고 지적했습니다. 요청이 서명되면 공격자는 피해자의 지갑에서 NFT 및 ERC-20 토큰을 이전할 수 있습니다. 성공 후, Pink Drainer는 공격자에게 도난 자산의 30%를 수수료로 청구합니다.

Dune 데이터에 따르면, 4월 4일 기준으로 Pink Drainer가 시작한 피싱 공격으로 인해 총 13,415명이 피해를 입었으며, 전체 산업에서 도난된 금액은 5,341만 달러에 달합니다.

피싱 공격이 만연해 있으며, 프로젝트 측과 투자자는 한 번 걸리면 회복할 수 없는 상황에 직면할 수 있습니다

피싱 공격자의 손길이 점점 더 많은 프로젝트 측으로 향하고 있습니다.
오코 클라우드 체인이 발표한 2024년 3월 보안 월간 보고서에 따르면, 해당 월 공식 소셜 미디어에서 발생한 사기 및 피싱 사건은 총 50건이며, 주로 X, 디스코드 및 각종 피싱 웹사이트 등에서 발생했습니다. 본문에서는 올해 초부터 피싱 공격을 받은 일부 주요 프로젝트 또는 기관을 정리했습니다:
1월 5일, CertiK의 트위터 계정이 잠시 도난당함; 1월 10일, SEC의 트위터 계정이 도난당하고 관련 전화번호가 불법으로 사용됨; 1월 26일, AltLayer의 트위터 계정이 공격받음; 1월 29일, Masa의 트위터 계정이 도난당하고 가짜 에어드랍 링크를 게시함; 2월 3일, Blockworks 창립자의 트위터 계정이 도난당한 것으로 의심됨; 2월 20일, ARPA 공식 트위터 계정이 도난당하고 가짜 토큰 신청 링크를 게시함; 3월 6일, Aevo의 고급 트위터 계정이 게시한 에어드랍 피싱 링크; 3월 12일, beoble 공식 트위터 계정이 도난당한 것으로 의심됨; 3월 15일, 액티비전 블리자드 공식 트위터 계정이 도난당함; 3월 20일, 하드웨어 지갑 Trezor의 트위터 계정이 도난당함; 3월 23일, Cointelegraph의 트위터 계정이 도난당한 것으로 의심됨.
이 중 가장 충격적인 것은 업계 권위의 보안 기관인 Certik의 계정이 도난당한 사건으로, 사기꾼의 기술 업데이트 및 반복 공격 속도가 매우 빠르다는 것을 보여줍니다. 1월 5일 Certik 계정이 도난당한 당일, 공격자는 해당 계정을 사용하여 피싱 링크를 게시했으나, 다행히 Certik은 곧바로 취약점을 발견하고 몇 분 안에 관련 트윗을 삭제했습니다. 이후 Certik은 소셜 미디어에서 이는 지속적인 공격이라고 밝혔습니다.
피싱 공격을 당한 모든 사람이 Certik처럼 운이 좋은 것은 아닙니다. 우선 자산이 도난당한 사용자들은 이유 없이 막대한 자산 손실을 감수해야 하며, 보통은 프로젝트 측에 불만을 품게 됩니다. 피해자인 프로젝트 측도 대부분은 변명할 수 없는 상황에 빠지며, 사건 발생 후 보상 절차, 위기 관리 및 기술 유지보수 등 여러 작업을 동시에 시작해야 하므로 프로젝트 운영에 큰 손실을 초래합니다. 일부 프로젝트 측은 피싱 공격을 받은 후 자산 가격이 단기간에 급락하기도 했습니다. 예를 들어:
3월 6일, Scam Sniffer의 모니터링에 따르면, 한 사용자가 네트워크 피싱 사기로 인해 73.6만 달러의 PAAL 자산을 잃은 후, PAAL 가격은 1시간 내에 7.96% 하락했습니다.


이러한 끔찍한 교훈을 통해 볼 때, 피싱 공격이 만연하게 방치된다면 암호화 자산 세계는 점점 더 심각한 신뢰 위기에 빠질 것입니다.

피싱 링크를 어떻게 식별할 것인가? 이러한 간단하고 실용적인 방법들이 위기에서 당신을 구할 수 있습니다

분석해보면, 피싱 공격은 매우 혼란스럽고 은밀한 특성을 가지고 있으며, 사건 후 피해자는 어둠 속에 숨어 있는 공격자를 추적하기가 매우 어렵습니다.
광범위한 사용자에게 있어, 우리는 모든 링크에 대해 항상 경계를 유지해야 하며, 그렇지 않으면 피싱 링크를 클릭하고 상대방의 요구에 따라 작업을 수행하는 것은 회복할 수 없는 재앙이 될 수 있습니다. 링크가 피싱 공격 링크인지 확실하지 않을 경우, 다음과 같은 조치를 취하여 식별하고 예방할 수 있습니다:

1. 링크 주소 확인: 피싱 링크는 일반적으로 실제 웹사이트의 URL을 모방하지만, 세심하게 확인하면 미세한 차이를 발견할 수 있습니다. 예를 들어, 가짜 웹사이트의 주소는 정품 웹사이트와 철자에서 다를 수 있거나 유사한 도메인을 사용할 수 있습니다;
2. 안전 인증서 검증: 웹사이트에 유효한 SSL 인증서가 있는지 확인합니다. 정규 웹사이트는 안전한 SSL 암호화를 가지고 있으며, 브라우저 주소 표시줄에 "자물쇠" 아이콘이 표시됩니다. 피싱 웹사이트는 이러한 안전 인증서가 없는 경우가 많습니다;
3. 도메인 해석 확인: DNS 조회 도구를 사용하여 도메인 해석을 확인하고 도메인 등록 정보가 주장하는 기관과 일치하는지 확인합니다;
4. 검색 엔진 조회: 검색 엔진을 통해 해당 링크가 주장하는 웹사이트나 기관을 찾아 공식 웹사이트 정보를 비교합니다;
5. 공식 웹사이트 직접 방문: 피싱 링크가 의심될 경우, 링크를 클릭하지 말고 공식 웹사이트 주소를 직접 입력하여 방문합니다;
6. 공식 확인 연락: 의심스러운 링크에 대해서는 공식 웹사이트의 고객 서비스에 직접 연락하여 확인하는 것이 좋습니다;
7. 안전 의식 함양: 사용자는 항상 높은 안전 의식을 유지하고, 출처가 불분명한 링크를 클릭하지 않으며, 개인 키, 비밀번호 등 민감한 정보를 함부로 제공하지 않아야 합니다;
8. 안전 소프트웨어 사용: 전문 네트워크 보안 소프트웨어를 설치하고 사용하여 피싱 웹사이트를 탐지하고 차단할 수 있습니다.
   위의 방법을 통해 암호화 자산 분야의 사용자들은 피싱 공격의 위험을 크게 줄이고 자산 안전을 보호할 수 있습니다. 동시에, 많은 프로젝트 개발자들도 네트워크 보안 교육에 적극적으로 관심을 기울여야 하며, 자신의 네트워크 보안 소양을 향상시켜야 합니다.