긴급한 "명확한 서명" 요구를 주장하는 피싱 이메일의 표적이 된 원장 사용자

증가하는 암호화폐 피싱: 하드웨어 지갑도 예외는 아닙니다.

Ledger와 같은 하드웨어 지갑은 사용자의 자금을 오프라인 상태로 유지하여 뛰어난 보안을 제공하지만, 피싱 공격으로부터 완전히 자유롭지는 않습니다.

사기꾼들은 가장 신중한 암호화폐 보유자까지 노리는 전략을 지속적으로 개발하고 있습니다.

최근 레저 사용자를 노린 피싱 이메일이 급증하면서 암호화폐 업계에서 지속적인 경계가 중요하다는 사실이 강조되고 있습니다.

사기란 무엇인가요?

현재 레저 사용자들 사이에서 "레저 클리어 서명"이라는 가짜 보안 기능을 활성화하도록 속여 암호화폐를 훔치려는 정교한 피싱 시도가 유포되고 있습니다.

이러한 사기 이메일은 매우 전문적으로 보이며 Ledger의 공식 커뮤니케이션을 모방합니다.

2024년 10월 31일 이전에 이 기능을 활성화하여 지갑에 대한 안전한 액세스를 유지하시기 바랍니다.

이 이메일은 기능을 활성화하지 않으면 2024년 11월 1일 이후에는 액세스 권한을 잃게 될 것이라고 협박합니다.

이러한 이메일에서 사기꾼은 거짓 경고를 합니다:

"레저 장치를 안전하게 계속 사용하시려면 2024년 11월 1일부터 클리어 서명을 활성화해야 합니다. 이 기능은 점점 더 교묘해지는 피싱 공격과 사기 행위로부터 자산을 보호하는 데 필수적인 기능입니다."

긴급한 계정 인증이 필요하다며 사용자를 속여 민감한 정보를 공개하도록 유도하는 Ledger를 사칭한 사기성 이메일이 유포되고 있습니다.

그러나 이 이메일은 사용자를 악성 웹사이트로 유도하여 기능을 활성화하기 위해 민감한 정보를 제공하도록 요청합니다.

사용자가 이에 응하면 사기꾼은 피해자의 지갑에 액세스하여 자금을 훔칩니다.

이러한 이메일은 Ledger에서 발송된 것이 아니라 합법적인 것처럼 위장하는 알 수 없는 주소에서 발송된다는 점에 유의해야 합니다.

Microsoft의 수석 위협 연구원 토마스 로치아는 이 사기를 '매우 깨끗한 레저 사기'라고 설명하며, 사기 링크가 사용자를 레저와 전혀 관련이 없는 URL로 리디렉션하지만 많은 사람을 속일 수 있을 만큼 설득력이 있다고 설명했습니다.

피싱 사기는 어떻게 작동하나요?

피싱 사기는 일반적으로 긴박감을 조성하여 의심하지 않는 사용자를 노립니다.

이 경우 사기꾼은 보안에 대한 관심이 높아지는 점을 악용하여 피해자가 개인 정보를 공유하도록 유도합니다.

특히 상당한 자산을 보유한 암호화폐 사용자는 이러한 수법의 주요 표적이 됩니다.

2024년 5월, 유명한 피싱 공격으로 인해 한 트레이더가 7,100만 달러 상당의 암호화폐를 잃는 사건이 발생했습니다.

안전한 거래를 하고 있다고 속은 트레이더는 자신도 모르게 자금의 99%를 사기꾼의 주소로 송금했습니다.

이 사건은 노련한 트레이더도 그럴듯하게 위장한 사기에 속아 넘어갈 수 있다는 것을 보여줍니다.

문제가 얼마나 큰가요?

피싱 공격은 암호화폐 업계에서 지속적인 위협이 되고 있습니다.

온체인 보안 회사인 스캠 스니퍼의 데이터에 따르면 2024년 9월에만 피싱 공격으로 인해 10,800명의 피해자가 4,600만 달러 이상의 암호화폐를 도난당한 것으로 나타났습니다.

이러한 수치는 피싱 사기가 증가하고 있으며 점점 더 교묘해지고 있음을 나타냅니다.

특히 피해가 컸던 공격은 9월 28일에 발생했는데, 사기범들은 퍼미션 피싱 서명을 사용하여 한 명의 피해자로부터 12,083스웨트(약 3,240만 달러)를 빼돌린 사건입니다.

이러한 유형의 사기는 사기꾼들이 기술적 취약점과 인간의 심리를 악용하는 방법을 배웠다는 것을 보여줍니다.

2024년 8월 피싱 공격이 215% 급증했으며, 사기범들은 약 9,145명의 피해자로부터 6,600만 달러 상당의 디지털 자산을 훔쳤습니다.

이 기간 동안 가장 큰 손실인 5,500만 달러는 암호화폐 보유자가 자신도 모르게 메이커 프로토콜을 통해 사기꾼에게 5,550만 다이를 이체하는 거래에 서명하면서 발생했습니다.

2024년 10월 현재 피싱 공격은 줄어들지 않고 계속되고 있으며, 상반기에만 4,100만 달러 이상의 손실이 발생했습니다.

원장 사용자가 주요 공격 대상인 이유

하드웨어 지갑을 제공하는 선도적인 업체인 Ledger는 방대한 사용자 기반을 악용하려는 사기꾼들의 표적이 되었습니다.

디지털 자산을 저장하는 가장 안전한 방법 중 하나를 제공한다는 명성 덕분에 많은 암호화폐 사용자들은 온라인 위협으로부터 자산을 보호하기 위해 Ledger를 신뢰합니다.

안타깝게도 이러한 신뢰는 사용자를 속여 보안 조치를 손상시키는 피싱 사기의 매력적인 표적이 되기도 합니다.

피싱 공격은 신뢰할 수 있는 출처에서 보낸 것처럼 교묘하게 위장한 이메일을 사용하는 경우가 많습니다.

최근 레저 사용자를 대상으로 한 공격은 사기꾼들이 얼마나 멀리까지 나아갈 수 있는지, 그리고 경험이 많은 암호화폐 보유자까지 속이기 위해 공식 커뮤니케이션을 얼마나 꼼꼼하게 복제할 수 있는지를 보여주는 증거입니다.

자신을 보호하는 방법

암호화폐 송금은 기존 은행 거래와 달리 되돌릴 수 없습니다.

일단 사기범의 주소로 송금된 자금은 회수하는 것이 사실상 불가능합니다.

따라서 암호화폐 보유자는 자산과 관련된 커뮤니케이션을 할 때 각별한 주의를 기울여야 합니다.

피싱 공격은 이메일에만 국한되지 않으며, 사기범들은 의심하지 않는 사용자를 속이기 위해 전화 통화도 이용하고 있습니다.

예를 들어, ECAD Labs의 CEO인 Jev Björsell은 최근 소위 '레저 라이브 복구 팀'이라는 피싱 전화를 받았습니다;

발신자는 비요르셀의 실명을 알고 있었고 전문적으로 보이는 방식으로 자신을 소개하여 이러한 위협을 식별하는 것을 더욱 복잡하게 만들었습니다.

피싱 시도로부터 보호하기 위해 암호화폐 보유자는 특히 의심스러운 링크나 개인 정보 요청이 포함된 즉각적인 조치를 촉구하는 이메일이나 전화를 주의해야 합니다.

링크를 클릭하거나 개인 정보를 제공하기 전에 항상 관련 회사에 직접 통신의 적법성을 확인하시기 바랍니다.

Ledger의 경우 공식 웹사이트를 방문하거나 고객 지원팀에 문의하면 보안 기능 활성화가 꼭 필요한지 여부를 판단하는 데 도움이 될 수 있습니다.

피싱 사기는 계속 진화하여 발견하기가 점점 더 어려워지고 있으므로 암호화폐 보유자는 항상 경각심을 가져야 합니다.