배경

최근 슬로우미스트는 디파이핵랩스가 주최한 이더리움 웹3 보안 부트캠프에 초청을 받았습니다. 초청 연사로 나선 슬로우미스트의 보안 감사 책임자 씽킹은 '가짜, 미끼, 유인, 공격, 은닉, 기술, 식별, 방어'의 8가지 챕터에서 피싱 해커의 악랄한 방법과 숨겨진 수법을 이해하고 실제 사례와 함께 관련 예방책을 제시했습니다. 피싱은 업계에서 가장 큰 피해를 입는 분야 중 하나이므로 적을 알고 자신을 알아야 방어에 성공할 수 있습니다. 이 글에서는 공유 세션의 주요 내용을 발췌하여 사용자가 피싱 공격의 현황을 이해하고 피싱 공격의 위협을 효과적으로 피할 수 있도록 돕고자 합니다.

왜 피싱인가

피싱 공격은 웹3세계의 주요 보안 위협 중 하나가 되었습니다. 먼저 사용자가 피싱 공격을 당하는 이유를 살펴봅시다. 사실 보안에 매우 민감한 사용자들도 "항상 강변을 걷다 보면 신발이 젖을 수밖에 없다"는 말을 하곤 하는데, 결국 항상 최신 보안 상태를 유지하기란 어려운 일입니다. 공격자는 최근 인기 있는 프로젝트와 커뮤니티 활동, 사용자 규모 등을 분석하여 주목도가 높은 표적을 선택하고 신중하게 위장하여 에어드랍, 고수익 및 기타 미끼를 통해 사용자를 끌어들입니다. 이러한 공격에는 보통 사회 공학이 수반되며, 공격자는 사용자의 심리를 악용하여 사기 목표를 달성하는 데 매우 능숙합니다.

• 미끼: 에어드랍 자격 조건 화이트리스트, 헤드 마이닝, 부 암호 등.

• Curious/Greedy: 두려움 없는 매도-플라이 탑 탈출 전략, 잠재적 100배 코인을 놓칠 수 없는 오늘 밤 10시, 컨퍼런스 링크 https://us04-zoom[.] us/ (악성); $ PENGU 에어 드랍 화이트리스트 놓치지 마세요, https://vote-pengu[.] com/ (악성).

• 공포: 긴급 경고: XX 프로젝트 해킹, revake[.] CASH(악의적으로)를 사용하여 승인을 취소하고 자금 손실을 방지하세요.

• 효율적인 도구: 에어드랍 채집 도구, AI 정량 도구, 원클릭 채굴 울모임 등을 제공합니다.

공격자들은 수익성이 있기 때문에 미끼를 만들고 배치하는 데 많은 노력을 기울이며, 위의 방법을 사용하면 공격자는 사용자의 민감한 정보/권한에 쉽게 접근하여 사용자의 자산을 탈취할 수 있습니다:

• 니모닉/개인키 탈취하기: 사용자를 속여 니모닉 또는 개인키를 입력하도록 유도합니다.

• 사용자가 지갑 서명을 사용하도록 속이기: 승인 서명, 전송 서명 등을 사용합니다.

• 계정 비밀번호 탈취: 텔레그램, 지메일, X, 디스코드 등.

• 소셜 앱 권한 도용: X, Discord 등.

• 악성 앱 설치 유도: 가짜 지갑 앱, 가짜 소셜 앱, 가짜 회의 앱 등.

피싱 수법

다음으로 몇 가지 일반적인 피싱 수법을 살펴보겠습니다.

계정 도용

계정 탈취

도난 계정

최근 Web3 프로젝트 소유자/KOL로부터 X-계정을 탈취하는 사례가 많이 발생하고 있으며, 공격자는 계정을 탈취한 후 가짜 토큰을 홍보하거나 게시하는 '좋은 소식'에 유사한 도메인 이름을 만들어서 게시하는 경우가 많습니다. 사용자가 이를 클릭하도록 유인합니다. 물론 공격자가 프로젝트의 도메인 이름을 장악했을 수 있으므로 도메인 이름이 실제인 경우도 있습니다. 피해자가 피싱 링크를 클릭하거나 서명하거나 멀웨어를 다운로드하면 도메인이 탈취됩니다.

X의 공격자들은 계정 도용 외에도 실제 계정의 댓글 섹션에 메시지를 남겨 사용자를 미끼로 삼는 대포 계정을 자주 사용합니다. 슬로우 포그 보안팀의 통계 분석 결과, 유명 프로젝트 측에서 트윗이 공개된 후 댓글 섹션의 첫 번째 메시지는 사기성 피싱 계정이 차지하는 비율이 약 80%에 달했습니다. 공격자는 자동화된 봇을 사용하여 유명한 프로젝트 당사자의 소식을 팔로우하고, 프로젝트 당사자가 트윗을 공개하면 피싱 갱의 봇이 처음으로 메시지를 자동화하여 첫 번째 메시지 위치를 차지하고 높은 조회수를 문지르도록 메시지를 남깁니다. 사용자가 게시물을 검색하는 것은 실제 프로젝트 측이 보낸 게시물이며 피싱 갱 계정과 프로젝트 측 계정의 위장이 매우 유사하기 때문에 사용자가 충분히 경계하지 않는 한 에어 드랍 및 기타 피싱 링크의 이름으로 높은 모조 계정을 클릭 한 다음 승인, 서명하면 자산 손실이 발생합니다.

공격자는 관리자로 위장하여 가짜 메시지를 게시할 수도 있습니다. 특히 사용자가 정의한 닉네임과 사용자명을 지원하는 Discord에서 공격자가 아바타와 닉네임을 관리자의 것과 일치하도록 변경한 후 채널 내 사용자에게 피싱 메시지나 비공개 메시지를 게시하기 때문에 계정 프로필을 클릭하여 사용자명을 확인하지 않으면 탐지하기 어렵습니다. 또한, Discord 사용자 아이디는 반복할 수 없지만 공격자는 사용자 아이디에 밑줄이나 마침표를 추가하는 등 관리자의 사용자 아이디와 매우 유사한 이름을 사용할 수 있어 사용자가 진짜와 가짜를 구분하기 어렵습니다.

피싱 초대

피싱 초대

공격자는 종종 소셜 미디어 플랫폼에서 피해자와 연결하여 "양질의" 프로젝트를 추천하거나 컨퍼런스에 초대하여 피해자가 악성 피싱 사이트를 방문하고 악성 앱을 다운로드하도록 유도합니다. 사용자가 가짜 Zoom을 다운로드한 후 정보를 도난당한 사례도 있었습니다. 공격자는 "app[.] us4zoom[.] us" 도메인 이름을 사용하여 실제 Zoom과 매우 유사한 페이지로 정상적인 Zoom 미팅으로 연결되는 링크를 위장합니다. 사용자가 '미팅 시작' 버튼을 클릭하면 로컬 Zoom 클라이언트를 실행하거나 공식 Zoom 클라이언트를 다운로드하는 대신 악성 설치 프로그램을 다운로드하도록 유도합니다. 악성 애플리케이션은 실행 시 사용자가 비밀번호를 입력하도록 유도하고 이후 악성 스크립트가 플러그인 지갑 데이터와 키체인 데이터(사용자가 컴퓨터에 저장한 다양한 비밀번호가 포함될 수 있음)를 수집하기 때문에 공격자는 사용자의 자산을 탈취하기 위해 데이터를 해독하고 사용자의 지갑 니모닉/개인 키와 같은 민감한 정보를 얻으려고 시도합니다.

검색 엔진 순위 악용

검색 엔진 순위 결과는 광고 프로모션을 구매하여 개선 할 수 있기 때문에 피싱 웹 사이트 순위도 상황 전면의 실제 공식 웹 사이트보다 높을 수 있으며, 공식 웹 사이트 URL의 경우 사용자가 명확하지 않고 웹 사이트 표시 페이지 만으로는 피싱 웹 사이트인지 여부를 판단하기 어렵습니다. 피싱 웹사이트는 구글 광고 프로모션 기능에서 광고 표시 URL을 맞춤 설정할 수 있으며, 스폰서드에 표시되는 URL은 공식 URL과 동일 할 수 있지만 사용자가 광고 URL을 클릭하면 공격자가 구축 한 피싱 웹 사이트로 리디렉션됩니다. 공격자가 만든 피싱 사이트는 실제 웹사이트와 매우 유사하여 실제 사이트로 오인할 수 있으므로 사용자가 검색 엔진을 통해 직접 공식 웹사이트를 찾으면 피싱 사이트로 유입될 가능성이 높으므로 권장하지 않습니다. strong>

최근 가짜 TG 봇으로 인해 피해를 입은 사용자가 크게 증가했으며, 몇몇 사용자는 거래 봇을 사용하던 중 채널 상단에 새로운 봇이 나타났고, 이를 새로운 공식 출시로 믿고 지갑을 묶을 개인 키를 가져오기 위해 새로운 봇에 접속했지만, 개인 키를 탈취당했다고 보고했습니다. 공격자는 텔레그램을 사용하여 공식 채널에 광고를 타겟팅하고 사용자들이 광고를 클릭하도록 유도했습니다. 이러한 유형의 피싱 기법은 매우 은밀하며, 공식 채널에 광고가 게재되기 때문에 사용자는 무의식적으로 공식 정부에서 배포한 봇이라고 쉽게 생각할 수 있으며, 방심하면 피싱 봇을 클릭하고 개인 키를 업로드하여 바인딩한 후 도난당하게 됩니다.

또한, 최근 새로운 유형의 수법을 공개했습니다.

또한, 최근 공격자의 튜토리얼을 따라 악성 코드를 실행한 후 다수의 사용자가 탈취당한 새로운 수법인 텔레그램 가짜 세이프가드 사기를 공개했습니다.

앱 몰

앱 몰

앱 스토어(구글 플레이, 크롬 스토어, 앱 스토어, APKCombo 등)에 항상 정품 소프트웨어가 있는 것은 아니며, 많은 경우 스토어에서 소프트웨어를 완전히 검증할 수 있는 수단이 없습니다. 일부 공격자는 키워드 순위 우회 등을 통해 사용자가 사기성 앱을 다운로드하도록 유도하기도 합니다. 독자들의 주의를 기울여 주시고, 다운로드하기 전에 앱 개발자의 정보가 개발자의 공식 발표와 일치하는지 확인하고 앱 평점, 다운로드 수 및 기타 정보를 참고하시기 바랍니다.

피싱 이메일

피싱 이메일은 가장 고전적인 방법으로 "평범하고 간단하다"고 할 수 있습니다. 공격자는 피싱 템플릿과 Evilngins 리버스 프록시를 결합하여 아래 이미지와 같은 이메일을 작성합니다: 사용자가 "문서 보기" 버튼을 클릭하면 이메일이 사용자의 컴퓨터로 전송됩니다. "문서 보기"를 클릭하면 사용자는 가짜 DocuSign 인터페이스로 리디렉션되고(현재는 사용할 수 없음), 사용자가 해당 인터페이스에서 구글 로그인을 클릭하면 역방향 프록시가 사용 중인 구글 로그인 창으로 이동하여 계정 번호, 비밀번호 및 2FA를 입력하면 공격자가 계정을 탈취하게 됩니다.

위 이미지의 피싱 이메일은 발신자의 이메일 주소가 위장되지 않았기 때문에 충분히 처리되지 않은 것이 분명합니다. 공격자의 이메일 주소는 공식 이메일 주소보다 점 하나만 더 있고, 공격자는 DNSTwist를 통해 Gmail에서 지원하는 특수 문자를 찾아냈기 때문에 자세히 보지 않으면 컴퓨터 화면이 깨끗하지 않다고 생각할 수 있습니다.

브라우저 특성 익스플로잇

자세한 내용은 슬로우 포그를 참조하세요: 악성 브라우저 북마크가 Discord 토큰을 탈취하는 방법

방어 과제

공격자의 전술은 계속 진화하고 있으며, 전반적으로 세분화되는 추세입니다. 공격자의 전술은 계속 진화하고 있으며, 전반적인 방향은 세분화 및 템플릿화입니다. 이전 분석에 따르면 공격자는 잘 알려진 프로젝트 제공업체의 공식 웹사이트와 매우 유사한 웹 페이지를 만들고 프로젝트 제공업체의 도메인 이름을 장악할 수 있을 뿐만 아니라 가상의 프로젝트도 만들 수 있으며, 가짜 프로젝트는 소셜 미디어에서 많은 팬(구매)을 보유하고 있을 뿐만 아니라 GitHub 저장소까지 보유하고 있어 사용자가 피싱 위협을 식별하기가 더욱 어려워지고 있습니다. 또한 공격자들이 익명성 도구에 능숙해지면서 공격자의 흔적을 추적하기가 더 어렵고 복잡해졌습니다. 공격자들은 익명성을 유지하기 위해 VPN, Tor를 사용하거나 심지어 해킹된 호스트를 제어하여 악의적인 행위를 저지르기도 합니다.

익명성을 확보한 공격자는 피싱 네트워크를 구축하기 위해 인프라를 확보해야 합니다. 공격자는 피싱 네트워크를 구축하기 위해 암호화폐 결제를 지원하는 Namecheap과 같은 인프라 서비스를 조달해야 하며, 이 중 일부는 이메일 주소만으로 가입할 수 있어 KYC 인증이 필요 없고 공격자의 신원이 추적되는 것을 피할 수 있습니다.

위와 같은 기본 사항을 갖추면 공격자는 피싱 공격을 시작할 수 있습니다. 피싱 공격을 시작할 수 있습니다. 그런 다음 수익금은 와사비, 토네이도 등의 서비스를 사용하여 자금의 경로를 난독화하는 데 사용됩니다. 익명성을 더욱 강화하기 위해 자금은 Monroe와 같은 익명성이 높은 암호화폐로 교환될 수 있습니다.

샘플과 증거를 남기지 않기 위해 공격자는 샘플과 증거를 싹 쓸어버립니다. 공격자가 피싱 사이트를 시스템에서 제거할 수 있었던 것은 이번이 처음으로, 공격자는 공격자의 도메인 이름, 악성 프로그램, 깃허브 저장소, 플랫폼 계정 등 모든 흔적을 제거할 수 있었기 때문에 공격자의 행동을 분석하고 추적하기가 더욱 어려워졌습니다.

방어 전략

사용자는 위의 기능을 기반으로 피싱 위협을 식별하고 피싱 위협을 마스터할 수 있습니다. 기능을 통해 피싱 위협을 식별하고 정보의 진위 여부를 확인하는 기본적인 방법을 파악할 수 있으며, 일부 방어 도구를 사용하여 피싱 방지 기능을 향상시킬 수도 있습니다.

• 피싱 위험 차단 플러그인:과 같은 피싱 위험 차단 플러그인은 다양한 방법으로 사용할 수 있습니다.
  
  스캠 스니퍼는 다차원 위험 탐지 도구로, 의심스러운 피싱 페이지를 열면 적시에 팝업 위험 경고를 띄워 사용자에게 알려줍니다.

• 대화형 보안이 높은 지갑: Rabby's Watch 지갑(개인 키 필요 없음), 피싱 사이트 식별, WYSIWYG, 고위험 서명 식별, 이력 사기 식별 등의 기능을 제공합니다.

• 국제적으로 유명한 안티바이러스 소프트웨어: 예: AVG, Bitdefender, Kaspersky.

• 하드웨어 지갑: 하드웨어 지갑은 개인 키를 오프라인에 저장하는 방법을 제공하므로 하드웨어 지갑을 사용하여 디앱과 상호작용할 때 개인 키가 온라인으로 노출되지 않아 자산 도난의 위험을 효과적으로 줄일 수 있습니다.

끝부분에 작성

블록체인이라는 어두운 숲 속에는 피싱 공격이 도처에 도사리고 있습니다. 피싱은 '마음'의 영역에 있기 때문에 의식적으로 피하지 않으려면 스스로의 마음을 잘 살펴야 합니다. 블록체인의 어두운 숲을 걷는 가장 근본적인 것은 제로 트러스트와 지속적인 검증을 유지하는 습관을 기르는 것이며, "블록체인 어두운 숲 자조 매뉴얼"을 자세히 읽고 점차적으로 마스터하는 것이 좋습니다: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/. .