ChatGPT 개발사 OpenAI, 연말까지 싱가포르 사무소 개설해 대규모 채용 추진
OpenAI는 2024년 말까지 싱가포르에 새로운 사무소를 개설하여 아시아에서의 입지를 강화하고 AI 싱가포르와 같은 현지 이니셔티브와 협력할 계획입니다. 이번 확장은 동남아시아 전역의 AI 개발을 지원하는 동시에 새로운 일자리 기회를 창출하는 것을 목표로 합니다.

TL;DR (핵심 팁)
Laf="">Blue Hook "코인데스크 부편집장"의 팟캐스트 녹음 초대 → 낚시 앱 설치 직전 → 지갑을 지키기 위해 5초간 망설임. leaf="">Blue Hook "코인데스크 부편집장"이 팟캐스트 녹음에 초대 → 피싱 앱을 설치할 뻔함 → 지갑을 지키기 위해 5초의 망설임.
진짜 0데이는 인간의 본성에 있다: 권위 숭배 + 시간 압박 = 무한히 재사용 가능한 취약점; 전 세계 암호화 손실의 40% 이상이 스크립트 피싱에 의존합니다.
최후의 방어선 = "5-4-3-2-1" 카운트다운: 5초 동안 멈추고 질문 1개를 제기합니다, 출처 1개 확인 - 아무리 두꺼운 기술도 깨어나려면 이 초가 필요합니다.
오늘 탈중앙화 3부작의 세 번째 이야기에 대해 여러분과 이야기하기로 했는데, 잠시 연기해야 할 것 같아 유감스럽게 생각합니다. 지난 며칠 동안 제 인생이 바뀔 뻔한 큰 사건이 있었기 때문입니다.
지난 금요일 아침 이른 시간에 평소처럼 컴퓨터를 켜자 X(이전의 트위터)로부터 비공개 알림을 받았다는 알림을 받았습니다. 이를 클릭하자마자 그 사람의 신원이 눈에 들어왔습니다.
일반 아바타, 파란색 체크 인증, 아이디는:Dionysios Markou입니다. span>이며, 자신을 코인데스크의 부편집장이라고 소개합니다.
<그림>대화에서 그는 저에게 이렇게 말했습니다.
span leaf="">저는 @코인데스크에서 일하고 있으며, 지금은 아시아 암호화폐 커뮤니티에 대해 웹3.0 커뮤니티의 다양한 구성원들과 일련의 인터뷰를 하고 싶습니다. 괜찮으시다면 여러분을 저희의 게스트 인터뷰어로 초대하고 싶습니다.
팟캐스트를 녹음하여 웹사이트, Spotify 및 기타 플랫폼에 게시할 계획입니다.
이 에피소드에서는 비트코인/이더리움/솔코인 마켓플레이스의 미래, MEME 마켓플레이스, DeFi, 웹3 아시아 프로젝트 등의 주제를 다룹니다
참석 가능하신지 알려주시겠습니까?
내용은 간결하고 전문적이었으며, 형식은 암호화폐 미디어 업계에서 흔히 볼 수 있는 아웃리치 초대장과 완벽하게 일치했습니다. 저는 깜짝 놀랐습니다."코인데스크? 업계 베테랑 미디어, 아, 너무 익숙하네요.
저는 거의 망설임 없이 그렇다고 대답했습니다. 인터뷰 대상자로서 비트코인, 이더리움, 웹3.0, MEME 프로젝트에 대해 이야기할 수 있다는 것은 제가 콘텐츠를 만들기에 이상적인 시나리오가 아닐까요?
이번 주 월요일인 5월 12일 오후 10시에 연결될 예정입니다.
<그림>위 그림을 참고하세요. 상대방은 "영어를 얼마나 잘하는지 물어봐도 될까요?"라는 문구를 보냈습니다. 이 문구는 제가 사기를 당하기 위한 주요 전제 조건이 될 것입니다.
월요일 밤 9시 42분, 상대방은 저에게 X로 인사하고 동영상을 시작할 준비가 되어 있었습니다.
<그림>팀즈를 사용하자고 제안했고, 상대방은 팀에 AI 번역기가 부족하다며 중국어와 영어를 장벽 없이 대화할 수 있는 LapeAI를 제안하며 준비되었다는 스크린샷과 함께 위와 같이 룸 번호와 초대 링크를 보냈습니다.
LapeAI를 사용해 본 적은 없지만 상대방의 추론은 일리가 있었습니다. 안전을 위해 상대방이 제공한 링크를 클릭하지 않고 바로 Google로 이동하여 LapeAI를 검색한 결과 다음 사이트를 발견했습니다.
<그림>이 사이트를 열자마자 피싱 사이트라는 경고가 Chrome에서 바로 떴습니다.
<그림>그러나 도메인 이름을 자세히 보니 그 사람이 LapeAI.io를 알려주었고, 구글 검색 결과 접미사가 다른 Lapeai.app이 나왔고 두 웹사이트는 서로 다른 웹사이트로 나타났습니다. 그런 다음 주소창에 Lapeai.io를 직접 입력했더니 아래와 같이 더 이상 알람이 표시되지 않았습니다.
<그림>모든 것이 정상적으로 작동하는 것 같아서 계정에 가입하고 상대방의 초대 코드를 입력했습니다. LapeAI.app과 LapeAI.io는 실제로 같은 사이트입니다. 계속 읽다 보면 알겠지만 .app 도메인이 발견되고 새로운 .io 도메인이 신청된 것뿐입니다.
<그림>위 이미지에서 동기화 버튼을 클릭하면 대화창 대신 다음 페이지가 나타납니다.
<그림>위 이미지의 빨간색 상자는 앱 다운로드를 클릭하라는 메시지가 표시되지 않았지만, 위 텍스트에는 웹사이트와 앱 모두에서 동기화 버튼을 클릭해야 한다고 명시되어 있습니다.
웹 버전만 있으면 되는데 왜 앱을 다운로드해야 하나요?
조금 망설였지만 어쨌든 다운로드했습니다. 하지만 아래의 설치 페이지에 도착하자마자 망설였습니다.
주저한 이유는 직접 설치하는 것이 아니라 단말기를 통해 앱을 실행해야 한다는 점 때문이었는데, 이는 처음 접하는 방식이었습니다. 그래서 잠시 멈추고 ChatGPT o3의 도움을 받아 검사를 해보았습니다. 그 결과, 아래 그림과 같은 충격적인 결과가 나왔습니다.
<그림>이 점검을 통해 제가 얼마나 위험에 가까웠는지 깨닫게 되었습니다.
lapeAI.io 도메인 이름은 불과 3일 전인 2025년 5월 9일에 등록되었습니다.
.
이 도메인의 소유자 정보가 숨겨져 있습니다.
페이지 제목에도 눈에 띄는 철자 오류가 있습니다: "
" conferece"(올바른 철자인 conference)로 바꾸세요. 이 페이지 제목은 피싱 사이트로 신고된 LapeAI.app과 동일한 페이지 제목입니다.
위 3가지 포인트 중 하나만으로도 저는 그 수상한 프로그램 설치를 중단할 수 있었습니다.
코인데스크 인터뷰 초대가 아니라 잘 포장된 사회공학적 공격이라는 것을 깨달았습니다. .
<그림>이 X(트위터) 계정을 다시 살펴보면, 파란색 자격 증명을 가지고 있지만 자세히 살펴보면 놀랍게도 초기에는 인도네시아어를 사용하다가(위 참조) 최근에야 스웨덴의 암호화폐 미디어 편집자로 갑자기 변경한 것을 알 수 있습니다. 또한 팔로워 수가 774명으로 코인데스크의 실제 편집자들이 수만 명에 달하는 팔로워 수와 전혀 일치하지 않는, 의심스러울 정도로 낮은 팔로워 수를 보유하고 있습니다.
<그림>상대방이 기자가 아니라 사기꾼이라는 것을 깨달았습니다. 지금 생각해보면 정말 잘 생각한 일입니다.
비공개 메시지에 대한 초기 응답, 시간 확인, 계정 등록, 거의 클릭에 가까운 설치 프로그램 실행까지,사기 당하기까지 한 걸음만 남았습니다
. strong>.다른 사람은 제가 중국어를 사용한다는 것을 알고 AI 번역에 대해 언급하겠다고 했고, 제가 Web3에 글을 쓴다는 것을 알고 팟캐스트의 이 에피소드에서 비트코인, MEME, 아시아 프로젝트에 대해 이야기하는 것을 강조했으며, 물론 커뮤니티에서 코인데스크의 영향력을 알고 있습니다! -- 트롤링으로 활용하고 있습니다.
나는 속이기 위해 맞춤 제작되었습니다.
나는 이것이 '무작위 사기'가 아니라 정확한 사회공학적 공격이라는 것을 깨닫기 시작했습니다. ">사회공학적 공격이라는 것을 깨달았습니다.
해킹 기술을 사용하지 않았고 코드 한 줄도 작성하지 않았으며 바이러스 링크도 보내지 않았습니다. 제 신뢰와 직업적 정체성, '인터뷰에 응하고 싶은 콘텐츠 종사자의 욕구'를 공격한 것이죠.
그 순간 제로데이 취약점이라는 용어가 떠올랐습니다제로데이 취약점을 본 것은 이번이 처음입니다. span leaf="">.
"0-Day"는 원래 기술 용어였습니다. 1980년대와 1990년대에 지하 BBS에서 처음 등장한 이 용어는 해커들이 "공식 출시 후 0일이 지나지 않았고 아직 대중에게 공개되지 않았으며 아무도 패치를 하지 않은 새로운 프로그램"을 지칭하기 위해 "제로데이 소프트웨어"라는 용어를 사용했습니다.
개발자가 취약점의 존재를 몰랐기 때문에 해커는 '0일째'에 이를 악용할 수 있었고, 이후 이 용어는 단순히 '제로데이'로 진화했습니다. 이 용어는 단순히 '제로데이 취약점' 자체와 이에 대한 '제로데이 공격'으로 발전했습니다. 0-day는 일반적으로 다음과 함께 사용됩니다.
< span leaf="">0일 취약점: 공급업체가 아직 알지 못하며 패치도 없습니다.
0일 익스플로잇: 해당 취약점을 노리고 작성된 공격 코드.
0일 공격: 취약점을 이용한 침입입니다.
제로데이 공격은 패치와 이를 차단하는 규칙이 없기 때문에 항상 "가장 높은 수준의 위협"으로 간주되어 왔습니다.
하지만 인간에게도 제로데이 취약점이 있다고 생각하지 못했을 수도 있습니다.
이 취약점은 서버 코드에 숨겨진 것이 아니라 수천 년 동안 인간이 발전시켜온 본능적인 반응에 내재되어 있습니다. 웹 서핑을 하고, 업무를 보고, 정보를 얻고 있다고 생각하지만 이미 기본적으로 켜져 있는 수많은 심리적 취약점에 노출되어 있는 것입니다.
예를 들면:
파란색으로 표시된 계정을 보자마자 그 계정이 기본적으로 "공식" 계정인가요?
"장소가 한정되어 있습니다", "캠페인이 곧 종료됩니다"라는 말을 듣자마자 다음과 같은 생각이 드는 것이 사실인가요? "장소가 한정되어 있습니다", "이벤트가 곧 종료됩니다"라는 말을 듣자마자 긴장하게 되죠.
계정이 비정상적으로 로그인되었거나 자산이 동결되었다는 소식을 들었을 때 불안하시나요?
'비정상 로그인' 또는 '자산 동결'이라는 문구가 보이면 어쩔 수 없이 클릭하게 되죠.
어리석음도, 과실도 아닌 진화된 생존 메커니즘입니다. 더 정확하게는 사기꾼과 해커들에 의해 반복적으로 검증되고 개선된 무기화된 버전의 휴머니티 0데이입니다.
우리는 이 개념을 다음과 같이 이해할 수 있습니다:
인류 0데이는 사회공학적 공격에 의해 반복적으로 악용될 수 있지만 기술적 수단으로 완전히 복구할 수 없는 인간 정신의 구멍을 의미합니다.
기술적인 0데이 취약점은 단일 패치로 봉쇄할 수 있습니다. 하지만 인간 본성의 0데이는 치료가 거의 불가능합니다. 보안에 대한 열망, 권위에 대한 자연스러운 신뢰, '이득을 취하고' '뒤처지지 않으려는' 본능적인 충동이 0데이에 담겨 있기 때문입니다.
복잡한 기술이나 코드가 필요하지 않고 문구, 친숙한 아이콘, "진짜처럼 보이는" 이메일만 있으면 됩니다. 기기에 침입할 필요 없이 사용자의 두뇌, 즉 생각하는 시간을 우회하기만 하면 됩니다.
그리고 "업데이트" 메커니즘도 없고 이를 막을 수 있는 바이러스 백신 소프트웨어도 없습니다. 온라인에 있는 모든 사람이 기본적으로 공격에 노출됩니다.
인류 0-Day라는 용어가 사용되는 이유는 그것이 처음이기 때문이죠. 휴머니티 0데이가 무서운 이유는 기술적 취약점을 초월하는 세 가지 핵심 특징이 있기 때문입니다.
첫째, 세대를 아우릅니다. 이러한 심리적 반응 메커니즘은 사실상 인류의 진화 DNA에 기록되어 있습니다. 피를 마시던 시절에는 불, 뱀 등 공포에 대한 본능적인 반응이 생존에 필수적이었고, 무리의 '리더'에게 절대적인 복종을 보이는 것이 집단 결속의 기초였습니다. 수천 년이 지난 지금도 이러한 메커니즘은 여러분과 저의 의사 결정 회로에 남아 있습니다.
둘째, 문화를 넘나듭니다. 어느 나라 출신인지, 어떤 학교를 다녔는지, 어떤 기술적 배경을 가지고 있는지는 중요하지 않습니다. 북한의 유명한 라자루스 해킹 그룹은 영어로 바이비트 직원을 속이고, 한국어로 탈북자를 속이고, 중국어로 텔레그램의 암호화폐 KOL을 속일 수 있었습니다. 언어는 통하지만, 인간성은 통하지 않습니다.
마지막으로 대량 재사용이 될 수 있습니다. 자신이 "표적이 되고 있는지" 여전히 궁금할 수 있습니다. 사실 공격자는 누군가를 '표적'으로 삼을 필요가 없습니다. 스크립트 하나, 대사 한 줄, 복사하여 붙여넣기만 하면 수만 명에게 전송될 수 있습니다. 캄보디아와 미얀마 북부의 사기 공원에서 사기꾼들은 8시간의 "대화 훈련"을 받은 후 "일"을 할 수 있으며, 한 달에 수백만 달러의 "결과물"을 얻을 수 있습니다! --사실상 비용이 거의 들지 않으면서도 기존 피싱 이메일보다 성공률이 훨씬 높습니다.
이것은 허점이 아니라 산업입니다.
인간의 뇌를 운영체제에 비유하면, 인간의 마음의 반응 중 많은 부분이 사실 항상 실행되는 일련의 API입니다인간의 뇌는 소셜 인터페이스를 실행하고 있습니다. span leaf="">멘탈 인터페이스 기능.
<그림>이 API에는 코드가 없으며 닫을 수 없습니다. 사람만 있으면 기본적으로 열려 있습니다. 예를 들어:
블루훅 계정에서 비공개 메시지를 보내면 '권한'에 대한 신뢰가 트리거됩니다.
이 API는 사람인 경우 기본적으로 열려 있습니다. li>
"계정이 비정상적으로 운영될 수 있습니다"로 열면 자산 위험에 대한 두려움이 유발됩니다.
"계좌가 비정상적으로 운영될 수 있습니다"로 열면 자산 위험에 대한 두려움이 유발됩니다.
"계좌의 운영이 비정상적일 수 있습니다"로 열면 자산 위험이 유발됩니다.
"이미 30만 명이 참여했습니다"를 추가하면 "이걸 놓칠 수 없다"고 생각하게 됩니다;그런 다음 "제한 시간이 20분밖에 남지 않았습니다"라는 말을 들으면 이성적인 판단이 최소화됩니다.
그러는 동안 그들은 당신을 억누르거나 겁을 주거나 거짓말을 할 필요가 없습니다. 제가 사기를 당했을 때의 모든 단계가 모두 자발적이고 능동적이었던 것처럼, 사기범들은 사용자가 직접 링크를 클릭하고 플랫폼에 가입하고 앱을 다운로드할 수 있도록 사용자의 기대에 충분히 부합하는 스크립트를 말하기만 하면 됩니다.
이제 정말 무서운 부분은 다음과 같습니다:
더 이상 사기꾼의 '피싱'이 아니라 스크립트 공장, 고객 서비스 시스템, 자금 세탁 프로세스로 구성된 전체 서비스형 피싱 네트워크입니다.
스크립트 공장, 고객 서비스 시스템, 자금 세탁 프로세스로 구성된 전체 네트워크입니다.)
이러한 유형의 공격에는 '수정 가능한' 취약점이 없으며, '영원히' 악용될 수 있는 인간의 본성만 있습니다.
3. 개인의 위기가 아니라 글로벌 인식 전쟁입니다. 왼쪽;">'인류 0일'의 개념을 이해한 후, 나는 혼자가 아니며 특별한 사례도 아니라는 것을 깨달았습니다.
나는 동일한 '사회 공학 스크립트'를 일괄적으로 받고 있는 수백만 명의 평범한 사람들처럼 정밀하게 표적화된 글로벌 심리 공격의 졸에 불과합니다. 사회 공학 스크립트".
해커의 무기는 키보드와 코드가 아니라 "문맥 디자인, 권한 가장, 신뢰 스크립트"입니다. "해커의 무기는 키보드와 코드가 아니라 컨텍스트 디자인, 권한 가장, 신뢰 스크립트"입니다.
체인널리시스에서 발표한 2025년 암호화폐 범죄 보고서에 따르면, 2024년 암호화폐 자산 도난으로 인한 직접적인 손실은 에 달할 것으로 예상됩니다. 22억 달러로, 피싱, 소셜 워커 등에 의한 개인 키 유출이 43.8%(약 9억 6천만 달러)를 차지할 것으로 예상됩니다.
<그림>이 말은 5건 중 거의 2건은 기술적 취약점이나 공격 스크립트 때문이 아니라 사용자가 자발적으로 '키를 넘겨주는' 인간 본성의 정밀한 조작에 의한 것이라는 뜻입니다. 인간의 본성을 정밀하게 조작하고 사용자가 적극적으로 "열쇠를 넘겨주었기 때문입니다.".
이러한 공격은 지갑을 손상시키지 않으며, 컨트랙트를 해독하지도 않고, 노드를 탈취하지도 않습니다. 이메일, 비공개 메시지, 가짜 신원, '맞춤형 미끼'만 있으면 됩니다.
링크를 클릭하고 니모닉을 입력하는 순간 피해가 발생하는 경우가 많습니다.
고장 나는 것은 시스템이 아니라 우리 각자가 '기본적으로 신뢰'라는 패러다임에 빠져 계속해서 열어두는 백도어입니다. align: left;">이러한 공격이 산발적이고 체계적이지 않다고 생각한다면 세계에서 '가장 전문적인' 소셜 엔지니어링 팀인 라자루스 그룹에 대해 알아볼 필요가 있습니다. 라자루스 그룹은 북한 출신의 세계에서 '가장 전문적인' 소셜 엔지니어링 팀으로, 국가적 지원과 글로벌 조직을 갖추고 있습니다.
복수의 보안 회사에서 추적한 데이터에 따르면:
2024년에 라자루스는 다음과 같은 공격을 시작했습니다. 라자루스는 2024년에 20건 이상의 주요 사회 복지사 공격을 시작했습니다.
The 왼쪽;">공격 대상에는 바이비트, 스테이크닷컴, 아토믹 월렛 및 기타 주요 암호화 플랫폼이 포함됩니다.
공작 수법에는 다음이 포함됩니다: 가짜 채용(이력서 + 면접 소프트웨어), 공급업체 위장, 협업 이메일, 팟캐스트 권유 등
연간 자산 도난 금액 1.34억 달러 이상
$13.4억으로, 전 세계 전체 암호화폐 공격의 거의 61%를 차지합니다.
더 놀라운 점은 이러한 공격이 시스템 수준의 취약점을 거의 악용하지 않는다는 점입니다< 이며, 전적으로 "스크립팅 + 패키징 + 피싱"에 의존합니다.
사용자는 공격자의 기술적 표적이 아니라 인지적 인터페이스입니다.
그들은 사용자의 언어, 습관, 신원 정보를 연구하고 사용자가 익숙한 회사, 친구, 플랫폼을 모방하며 해커라기보다는 심리 조작 콘텐츠 팀에 가깝습니다. 팀.
<그림>전체 상황의 본질적인 그림을 복원해 봅시다:
이 모든 것은 궁극적으로 시스템 차원의 재난이 아니라 사용자 차원의 기본 신뢰가 무너진 결과입니다.
공격자는 지갑 비밀번호를 해독하지 못했지만, 사용자의 인지 시스템이 몇 초 동안 주저하는 순간을 뚫고 들어온 것입니다.
바이러스에 감염된 것이 아니라 잘 포장된 스크립트에 따라 잘못된 '확인' 버튼을 누른 사용자 자신입니다.
"나는 거래소 직원도 아니고, KOL도 아니고, 지갑에 코인이 많지 않으니 아무도 나를 쳐다보지 않겠지?"라고 생각하고 있을지도 모릅니다.
그러나 현실은 다음과 같습니다.
주소를 공개적으로 게시하셨나요? "도구 추천"을 위해 여기 있습니다.
이력서를 보내셨나요? "인터뷰 링크를 보내드리겠습니다."
글을 작성하셨나요? "협업 초대";
그룹에서 지갑에 문제가 있다고 하셨나요? 바로 해결을 도와드리겠습니다.
돈이 있는지 확인하지 않고, 스크립트 트리거를 입력했는지 확인합니다. .
귀하는 특별한 경우가 아니라 "자동 전달 시스템을 트리거"한 것뿐입니다.
당신은 순진한 것이 아니라 인간 본성이 이 시대의 중심 전장이라는 것을 깨닫지 못했을 뿐입니다.
다음으로 이 전쟁에서 가장 핵심적인 전술 무기인 공격 스크립트 자체를 해체해 보겠습니다. 내면의 '기본 운영 체제'를 겨냥하여 단계별로 공격 스크립트가 어떻게 연마되는지 살펴볼 것입니다.
<그림>소셜 엔지니어링 공격의 99%는 사용자가 실수로 잘못된 버튼을 클릭하는 것이 아니라 단계별로 "올바른 버튼을 클릭하도록 유도"하는 방식입니다.
이것은 허황된 꿈처럼 들릴 수 있지만, 사실 99%의 소셜 엔지니어링 공격은 우발적인 실수가 아니라 사용자가 단계별로 '올바른 버튼으로 안내'를 받은 것입니다. 첫 번째 단계는 폭력을 통제하는 것이 아니라 공격의 끝까지 갈 수 있도록 영리하게 설계하는 것입니다.
4.1 공격 프로세스, 인지 조작의 사슬
< span leaf="">링크를 클릭하거나 앱을 다운로드했다고 해서 사기를 당하고 있다고 생각하지 마세요. 진정한 소셜 엔지니어링 공격은 결코 행동이 아니라 정신적인 과정을 통해 이루어집니다.
모든 클릭, 모든 입력, 모든 확인은 사실 이미 뇌에 저장된 행동 단축키를 호출하는 것입니다.
가장 일반적인 5단계 해커 공격 스크립트를 복원해 보겠습니다.
해커는 사용자가 "믿고 싶은" 시나리오를 설계하는 것부터 시작합니다. " 시나리오.
미디어에 출연 중이신가요? 코인데스크 편집자라며 인터뷰에 초대합니다.
회사에서 일하고 계신가요? "고급 테스트"에 선정되었다고 하네요;
웹3 개발자입니까? 프로젝트 소유자인 척하며 협조를 요청합니다.
일반 사용자이신가요? "계정 예외" 또는 "트랜잭션 동결"로 겁을 주나요?
이러한 시나리오는 딱딱한 것이 아니라 사용자의 정체성, 역할, 일상적인 필요에 따라 달라집니다. 생각하지 않고도 자연스럽게 대체할 수 있습니다. 이것이 바로 갈고리이자 닻입니다.
▶ 심도 있게 분석했습니다 사기당한 기자의 사례가 대표적인 예입니다. 이 기자는 레저 고객 서비스에 요청하는 트윗을 올렸고, 이 '합리적인' 메시지는 해커들이 공격 대상을 정확히 찾아내는 진입점이 되었습니다.
진입 지점과 함께 신뢰를 형성해야 합니다.
공격자는 파란색 체크 표시 인증, 브랜드 로고, 공식적인 목소리 톤 등 사용자에게 친숙한 시각적 기호를 사용합니다.
공격자들은 심지어 공식 웹사이트 도메인 이름(예: coindesk.com을 coindesk.press로 바꾸기)을 실제 팟캐스트 주제, 스크린샷 또는 샘플로 복제하여 전체 에피소드를 마치 "진짜처럼" 보이게 하세요.
▶ 제 경우에는 상대방이 프로필에 Web3, MEME, 아시아 시장 등 다양한 주제의 코인데스크 직책을 적었습니다 - < strong>콘텐츠 크리에이터로서 제 정신적 과녁을 정확히 맞혔습니다.
이것이 바로 마음속의 "trust_authority()" 기능을 활성화하는 비법입니다! -- 정보를 판단한다고 생각하지만 실제로는 기본적으로 권위를 신뢰하는 것입니다.
상대방은 당신이 완전히 진정하기도 전에 즉시 속도를 높일 것입니다.
"회의가 곧 시작됩니다."
"링크가 곧 만료됩니다."
. "24시간 이내에 처리되지 않으면 계정이 동결됩니다."
- 이 유형의 문구 의 목적은 단 한 가지입니다. 확인하기에는 너무 늦어서 그냥 시키는 대로 하도록 만드는 것입니다.
▶ 바이비트를 해킹한 대표적인 사례인 라자루스의 경우, 그들은 일부러 하루가 끝나기 직전에 LinkedIn을 통해 '인터뷰 프로필'을 발송하여 '인터뷰'라는 것을 만들어 냈습니다.
라자루스의 바이비트 해킹은 직원들이 퇴근하기 전에 일부러 링크드인을 통해 '인터뷰 프로필'을 발송하여 '급한 마음+강력한 유혹'의 이중 심리적 압박을 조성한 전형적인 사례로, 서로가 약한 순간에 정확하게 타격을 가하는 방법을 선택했습니다. ">이 단계는 매우 중요합니다. 해커는 모든 권한을 한 번에 요청하는 대신 각 주요 작업을 단계별로 안내합니다.
링크 클릭 → 계정 등록 → 클라이언트 설치 → 접근 권한 부여 → 도우미 입력.
각 단계가 "정상"으로 보이지만, 이것이 스크립트의 리듬입니다.
▶ 제 경험상 상대방이 직접 zip 파일을 보내지 않고 '등록 초대 + 동시 설치' 방식을 통해 여러 링크에 알림을 분산시켜서 각 단계마다 "괜찮겠지"라는 생각이 들게 하는 경우가 많았습니다. 제가 경험한 바로는 zip 파일을 직접 보내는 대신 여러 단계에 걸쳐 주의 사항을 분산시켜 각 단계마다 괜찮을 것 같은 착각을 불러일으켰습니다. ">문제가 잘못되었다는 사실을 깨달았을 때는 이미 너무 늦은 경우가 많습니다.
이 단계는 공격자가 니모닉, 개인 키를 입력하도록 속이거나 소프트웨어 백도어를 통해 세션, 쿠키 또는 지갑 캐시 파일에 조용히 액세스하는 단계입니다.
작업이 완료되면 즉시 자산을 전송하고 최단 시간 내에 혼합, 추출 및 세탁 프로세스를 완료합니다.
▶ 바이비트의 15억 달러 도난 사건은 권한 획득, 분할 전송, 코인 혼합의 전 과정을 단기간에 완료하여 사실상 복구 가능성이 거의 없는 상태였습니다.
<그림>핵심은 기술 시스템을 이기는 것이 아니라 자발적으로 방어를 '무너뜨리기' 때문입니다.
첫 번째 단계인 "당신은 누구입니까"에서 두 번째 단계인 "당신은 누구를 믿습니까", 세 번째 단계인 "당신은 충분히 빨리 생각할 수 없습니다"로 이어집니다. "당신은 생각할 시간이 없다", 마지막 "당신은 직접 실행 버튼을 누른다"까지, 이 과정은 폭력적이지는 않지만 정확하며 각 단계는 정신의 '자동 응답자'를 겨냥합니다. 이 과정은 폭력적이지는 않지만 정확하며 각 단계는 당신의 정신 속에 있는 '자동 반응기'를 겨냥한 것입니다.
심리학적으로 이 상태를 빠른 사고라고 부릅니다. 이는 사람이 불안, 흥분 또는 긴박한 상태에 있을 때 뇌가 논리적 분석을 생략하고 감정과 경험에서 직접 결정을 내리는 것을 말합니다. 이에 대한 원리와 메커니즘을 이해하려면 '생각하기, 빠르고 느리게'라는 책을 읽어보시기 바랍니다.
해커가 가장 잘하는 일은 빠른 사고 모드로 전환할 수 있는 환경을 구축하는 것입니다.
따라서 이 핵심 문구를 기억하세요:
블록체인 암호화 알고리즘을 뚫지는 못하지만, 가장 중요한 '사용자 수준 방화벽'을 완벽하게 우회합니다. -- 바로 여러분 자신입니다.
인류 0데이를 기술로 해결할 수 없다면, 스크립트가 트리거되기 전에 일시 중지를 누르는 습관, 즉 철칙은 여전히 존재할까요?
정답은 '예'입니다.
이를 "5초 규칙"이라고 합니다.
이 시점에서 우리는 모든 것을 보았습니다:
사회공학적 공격의 표적은 결코 지갑이나 휴대폰이 아니라 뇌의 반응 시스템입니다. 표적은 뇌의 반응 시스템입니다.
사용자의 방어를 뚫는 폭력적인 공격이 아니라 개구리를 따뜻한 물에 끓이는 것과 같은 인지 조작 게임으로, 개인 메시지, 링크, 전문적으로 보이는 대화로 단계별로 함정에 빠지도록 유도하는 것입니다. "
전문가가 보낸 비공개 메시지를 본 것은 이번이 처음입니다.
공격자가 "사용자를 조율"하는 경우 이 자동화된 프로세스를 어떻게 중단할 수 있을까요?
정답은 아주 간단하며 단 한 가지가 필요합니다.
도움말 입력, 링크 클릭, 소프트웨어 다운로드 또는 단어 입력을 요청할 때마다 이를 알아내기란 쉽지 않습니다.
니모닉을 입력하거나 링크를 클릭하거나 소프트웨어를 다운로드하거나 권한을 요청할 때마다 멈춰서 5까지 세어야 합니다.
이 규칙은 사소하게 들릴 수 있지만, 시행 시 다음과 같은 효과가 있습니다.
최소 비용, "인간 패치"에서 가장 높은 수익률.
"저는 백인도 아니고 콜드월렛, 다중 서명, 2단계 인증을 사용하는데 왜 '5초 철칙'이 필요한가요?"라고 질문할 수도 있습니다.
오늘날의 웹3.0 세계는 다층적인 보안 기술 스택을 구축한 것은 사실입니다.
< span leaf="">다음으로 계정에 로그인하세요패스키
원장원장또는 트레저오프라인으로 거래 서명
오프라인으로 거래 서명Chrome 샌드박스 수상한 링크 열기;
모든 설치 패키지를 macOS Gatekeeper로 확인
를 사용하여 장치 연결 동작을 모니터링합니다. SIEM 시스템 .
이러한 도구는 강력하지만, 사용하기에 너무 늦는 경우가 많다는 것이 큰 문제입니다.
앱을 다운로드할 때 서명을 확인하셨나요?
니모닉을 입력하기 전에 도메인 이름의 철자를 확인하셨나요? "시스템 예외, 수정해 주세요"라는 비공개 메시지를 클릭했을 때 계정 기록을 확인해 본 적이 있나요?
대부분의 사람들은 자신을 방어할 능력이 없거나 그럴 시간이 없을 뿐입니다.
적을 대신 죽이지는 못하지만, '손이 내려가기' 전에 당신을 다시 불러낼 수 있습니다.
"이 링크가 믿을 만한가?"라는 생각을 잠시 하게 만듭니다.
"누가 이걸 보냈지?"라고 잠시 확인합니다.
잠시 멈춤: "왜 내가 서둘러 주문해야 하지?"
이 5초는 인지 시스템이 온라인 상태가 되고 모든 기술적 방어가 작동하는 데 걸리는 시간입니다.
5.2 5초 규칙의 행동 과학적 논리왜 3초나 10초가 아닌 5초일까요? 5초?
이것은 행동주의 작가인 멜 로빈스 5초 법칙 책과 TEDx 강연에서 제시된 실험적 증거와 신경과학적 설명에서 나온 것입니다.
<그림>로빈스는 다음과 같은 사실을 발견했습니다.
카운트다운은 본질적으로 메타인지("메타인지 개시자")입니다. "메타인지 개시자"):
인터럽트 관성이성화 시작 - 카운트다운을 하면 현재 순간에 집중하게 되고 전전두엽 피질이 깨어나 '느린 사고'에 빠지게 됩니다. "
미세 행동을 유발합니다. --카운트다운이 즉각적인 움직임이나 발화로 끝나면 뇌는 그 단계를 당연한 것으로 받아들이고 후속 행동에 대한 저항력이 급격히 떨어집니다.
심리학 실험에 따르면 이 간단한 기법만으로도 자기 통제, 미루기, 사회적 불안 시나리오에서 피험자의 성공률이 극적으로 향상되었으며, 이는 로빈스 자신과 수백만 명의 독자에 의해 반복해서 입증되었습니다. Robbins 자신과 수백만 명의 독자가 이를 반복해서 입증했습니다.
사회 복지 사기에서는 이 5초면 '자동 연결 해제'에서 '질문 및 확인'으로 전환하여 상대방을 붕괴시키기에 충분합니다. 이 시간은 사회복지사 사기의 경우 '자동 클릭'에서 '질문 및 확인'으로 전환하여 상대 스크립트의 시간 압박을 방해하기에 충분한 시간입니다.
따라서 '5초 법칙'은 형이상학적인 법칙이 아니라 신경과학과 메타인지 연구에 의해 뒷받침된 '5초 법칙'입니다. "5초 법칙"은 형이상학적인 규칙이 아니라 신경과학과 메타인지 연구에 의해 뒷받침되는 "인지적 브레이크"입니다.
비용은 거의 들지 않지만, 가장 중요한 행동 진입점에서 모든 후속 기술 도구(이중 인증, 콜드월렛, 브라우저 샌드박싱 ......)를 최전방에 배치할 수 있게 해줍니다.
5.3 고위험 시나리오: 이 3가지 모두 막고 망설이지 마세요
소셜 엔지니어링 공격이 발생하는 시나리오의 80% 이상을 요약했으므로 실제로 다음 세 가지 시나리오 중 하나에 직면하면 즉시 5초 규칙을 실행하세요.
<그림>소셜 미디어 플랫폼에서 도움을 요청하고 몇 분 후 '공식 고객 서비스'라고 주장하는 Blue Hook 계정에서 사려 깊은 비공개 메시지를 보냈습니다. 몇 분 후, '공식 고객 지원'이라고 주장하는 Blue Hook 계정으로부터 "수정 링크" 또는 "동기화 도구"가 포함된 비공개 메시지를 받게 됩니다.
? 중지: 답장하지 말고 클릭하지 마세요.
? 생각해 보세요: 이 계정의 이력은 어떻게 되나요? 아바타가 변경되었나요?
? 공식 웹사이트로 이동하여 고객 서비스 채널을 확인하거나 도메인을 Google에서 검색하세요.
많은 사기가 이 '시기적절한 도움'에서 시작됩니다. 상대방이 선물이라고 생각하는 것은 사실 미리 짜여진 각본입니다.
시나리오 2: "베타 테스트/면접/면접에 선정된 것을 축하합니다. >업계의 거물급 인사로 보이는 사람으로부터 형식이 잘 갖춰진 초대 이메일을 받았는데, 격식 있는 어조와 함께 PDF 또는 소프트웨어 다운로드 링크가 첨부되어 있습니다.
? 중지: 서둘러 파일을 클릭하지 말고 발신자의 도메인을 먼저 확인하세요.
? 생각해 보세요: 코인베이스는 정말 zip 첨부파일을 사용하며, 코인데스크는 왜 LapeAI를 사용해야 하나요?
? 살펴보세요: 이 사이트가 언제 등록되었나요? 철자가 틀렸나요?
▶ 제 경우는 이 스크립트의 전형적인 경우입니다. 상대방은 나쁜 사기를 사용하는 것이 아니라 정교한 변장을 하고 있습니다. 그는 밥값을 뜯어내려고 온 것이 아니라 지갑을 훔치러 온 것입니다.
이 유형의 사기는 가장 흔하며, 자극적인 제목과 긴급한 링크, "이 문제에 대처하지 않으면 계정이 정지됩니다"라는 강압적인 말투의 이메일 또는 문자 메시지를 보내는 것이 특징입니다.
? 중지: SMS 링크를 클릭하지 말고 공식 웹사이트를 열고 로그인하여 확인하세요.
? 생각해 보세요: 공식 알림이 그렇게 급할까요? 템플릿처럼 들리나요?
? 확인: 발신자의 이메일이 google.com 또는 g00gle.co로 끝나는가?
이러한 유형의 시나리오는 공포와 책임감을 느끼게 하며, 일단 클릭하면 즉각적인 결과를 초래합니다.
해커 사냥꾼이 될 필요도 없고, 콜드사인이나 콜드월렛을 배우거나 수많은 차단기와 플러그인을 설치할 필요도 없습니다. 필요한 것은 다음과 같습니다:
5초 카운트다운
자신에게 질문하기
소스 확인(구글/도메인 이름/트윗 기록)<
이것이 바로 휴머니티 0-Day에 적용한 행동 패치입니다! ".
이 철벽 같은 규칙에는 장벽도 없고 비용도 없으며 기술 업데이트에 의존하지도 않습니다. 이 규칙에 의존하는 유일한 것은 중요한 지점에서 멈추고 생각하려는 의지뿐입니다.
스크립트 공격을 차단하기 위한 가장 간단하고 실용적이며 다재다능한 '인간 방화벽'입니다.
처음에는 그냥 '아차'를 기록하고 싶었어요. "거의 놓칠 뻔한" 장면을 기록하고 싶었습니다.
복제된 사기 웹사이트, 철자가 틀린 페이지 제목, 3일 전 피싱 도메인 이름 ...... 을 보고 다음과 같은 사실을 깨달았습니다. style="text-align: left;">이것은 개인의 실수가 아니라 전 세계에서 신뢰를 대량으로 수집하는 스크립트화된 전체 조립 라인이라는 것을요.
기술적인 공격에 의존하는 것이 아니라 '클릭'을 주저하는 순간부터 공격이 시작됩니다.
사회공학적 공격은 시스템을 뚫는 것이 아니라 사용자의 인식을 단계적으로 탈취하는 것입니다.
콜드 서명을 마스터할 필요도 없고, 주소 인증을 공부할 필요도 없으며, 작은 습관 하나만 있으면 됩니다.
5초 동안 멈추기결정적인 순간에.
이 계정, 이 링크, 이 이유가 믿을 만한 가치가 있는지 확인해 보세요.
이 5초는 느리지 않고 냉정하며, 의심스럽지 않고 품위 있는 시간입니다.
인식이 전쟁터가 되면 클릭 한 번이 곧 투표가 됩니다.
5초의 주의, 평생의 자유.
당신이 다음 피해자가 되지 않기를 바라며, 망설일 시간이 없는 다음 사람에게 이 사실을 전달해 주시길 바랍니다.
OpenAI는 2024년 말까지 싱가포르에 새로운 사무소를 개설하여 아시아에서의 입지를 강화하고 AI 싱가포르와 같은 현지 이니셔티브와 협력할 계획입니다. 이번 확장은 동남아시아 전역의 AI 개발을 지원하는 동시에 새로운 일자리 기회를 창출하는 것을 목표로 합니다.
Adobe는 크리에이터가 "콘텐츠 크리덴셜"이라는 디지털 지문을 부착하여 자신의 작품을 보호할 수 있는 무료 웹 앱을 2025년 초에 출시한다고 발표했습니다. 이 앱은 크리에이터가 콘텐츠 사용 방식을 제어할 수 있도록 지원하여 AI 교육에서 무단 사용에 대한 우려를 해소하는 것을 목표로 합니다.
리플 커뮤니티가 리플 사건에 대한 SEC의 "근거 없는" 항소를 중단할 것을 촉구하는 청원을 시작했습니다. 이 청원은 10,000명 이상의 서명을 받았으며, 4년에 걸친 법적 분쟁에 대한 불만을 드러내고 있습니다. 이러한 압박이 소송을 끝낼 수 있을까요, 아니면 소송이 지속될까요?
메타의 새로운 광고용 AI 도구는 클릭률이 11% 증가하고 100만 명 이상의 광고주로부터 상당한 참여를 이끌어내는 등 높은 성과를 거두고 있습니다. 한편, 틱톡은 광고 관리를 자동화하고 더 나은 결과를 약속하는 AI 도구인 Smart+를 출시하여 AI 기반 광고의 경쟁 환경을 강조하고 있습니다.
유명 분석 기관인 QCP 캐피털은 중국이 경기 부양책을 중단하면 비트코인이 자본 재분배를 이끌고 암호화폐 시장이 이에 따른 수혜를 받을 것이라고 말했습니다.
새로운 HBO 다큐멘터리에서 비트코인 창시자 사토시 나카모토가 캐나다의 소프트웨어 개발자 피터 토드일 가능성이 높다고 주장하며 머스크가 제기한 닉 사보 이론을 반박했습니다.
스탠다드차타드은행은 11월에 트럼프가 미국 대통령으로 당선되면 솔라나 토큰 SOL의 가격이 2025년 말까지 500% 상승할 것으로 예측하고 있습니다.
비트코인 창시자에 대한 HBO의 새로운 다큐멘터리는 미스터리를 풀지 못한 채로 남았습니다. 초기 비트코인 개발자 피터 토드는 영화에서 제기된 주장을 거부하며 자신이 사토시 나카모토임을 부인했습니다. 그는 감독인 컬렌 호백이 이 논란을 이용해 개봉을 과대 포장했다고 주장합니다. 토드의 부인으로 이제 사토시의 정체에 대한 추측을 멈출 때가 된 것일까요?
연방 당국이 암호화폐 시장 조작 및 사기 거래 혐의로 갓비트, ZM 퀀트, CLS 글로벌, 마이트레이드를 기소했습니다. 검찰은 이 회사들이 비밀리에 거래량을 부풀리기 위한 서비스를 제공했으며, 현재 조사 중인 기업과 개인 네트워크가 연루되어 있다고 주장합니다.
게리 겐슬러 SEC 위원장은 비트코인과 암호화폐가 결제 수단으로 널리 채택되는 것에 대해 회의적인 입장을 보이며 가치 저장 수단으로 간주될 가능성이 더 높다고 말했습니다. 그는 하우이 테스트와 관련하여 법대생과 로버트 잭슨 주니어 전 SEC 위원장의 날카로운 질문에 직면했으며 투자자 보호를 위한 규제 감독의 중요성을 강조했습니다.