Bitget 사례에서 보는 해커 피싱의 새로운 트렌드: 고급 계정 식별 및 안전 방어 가이드

저자: Bitget
최근 몇 달 동안, 점점 더 많은 암호화 프로젝트, 종사자, 그리고 정치인, 스타의 소셜 미디어 계정이 해킹당하고, 이어서 사기 정보를 게시하는 사건이 발생했습니다. 최근 일부 Bitget 직원들이 유사한 피싱 공격을 경험한 후, 계정을 되찾은 우리는 점차 실마리를 풀어가며 해커의 새로운 공격 방식이 끊임없이 진화하고 있으며, 높은 혼란성과 은폐성을 가지고 있음을 발견했습니다. 따라서 우리는 이 글을 준비하여 전체 산업의 안전 방어에 기여하고자 합니다.

Bitget 직원이 겪은 피싱 공격

5월 중순, 비즈니스 개발을 담당하는 Bitget 직원이 파트너로부터 트위터 다이렉트 메시지를 받았고, 잠재적인 협업에 대해 논의하자는 초대를 받았습니다. 양측은 곧 회의 시간을 정하고 회의를 진행했습니다. 회의 중, 상대방은 "기능 테스트"라는 명목으로 몇 가지 설치 파일을 보내 Bitget 직원에게 체험해 보라고 초대했습니다.
그 후 며칠 동안, 해당 직원은 친구와 업계 파트너로부터 문의를 받았습니다 ------ "너가 나에게 이상한 트위터 다이렉트 메시지를 보냈니?" 이상함을 깨달은 그는 Bitget 보안 팀과 신속히 행동하여, 연결된 이메일 등의 정보를 통해 계정을 되찾았습니다.

암호화 트위터 계정을 겨냥한 해커 공격 및 수익 방식

이후의 보안 점검에서 우리는 해커의 공격 방식과 그들이 어떻게 수익을 얻는지를 점차 복기했습니다:
첫 번째 단계: 해커는 이미 장악한 소셜 미디어 계정을 통해 "피해자"에게 다이렉트 메시지를 보내어 연락 하라고 유도하고, 특정 텔레그램 계정과의 협의를 제안합니다

❗ 안전 알림 :

1. 이러한 다이렉트 메시지는 반드시 의심스러운 계정에서 오는 것이 아니며, 심지어 인증된 공식 계정에서 올 수도 있지만, 사기의 다이렉트 메시지는 공식 팀에서 발송한 것이 아닙니다.
2. 이 시점에서 해커는 이미 이러한 공식 계정의 권한을 몰래 장악하고 있으며, 피해자를 텔레그램으로 유도하여 다음 단계의 사기를 진행합니다.
3. 해커는 일반적으로 다이렉트 메시지를 보낸 후 즉시 삭제하므로, 해커가 수백 개의 다이렉트 메시지를 보냈더라도 계정 소유자는 이를 인지하지 못합니다.
   두 번째 단계: 피해자가 해커의 텔레그램에 연락하면, 상대방은 온라인 회의 를 제안하고, 회의 중 특정 문서의 다운로드 및 설치를 초대합니다
   ❗ 안전 알림 :
4. 해커의 텔레그램은 일반적으로 실제 직원으로 가장하며, 관련 정보는 LinkedIn 등의 플랫폼에서 가져올 수 있으며, 그 계정 ID는 실제 직원과 매우 유사할 수 있습니다. 예를 들어, 대문자 I와 소문자 l을 혼동할 수 있습니다.
5. 해커는 설치 파일에 악성 코드를 심어 피해자가 설치하도록 유도하여, 그들의 컴퓨터 접근 권한을 얻고, 소셜 미디어 계정을 도용하거나 심지어 암호화폐 또는 법정 화폐 자산을 탈취합니다.
   세 번째 단계: 피해자의 장치 권한을 얻은 후, 해커는 먼저 자산을 직접 탈취하려고 시도합니다. 이후, 피해자의 트위터와 텔레그램 계정을 통해 새로운 피해자를 물색하고, 해당 계정으로 다이렉트 메시지를 보내 해커가 제어하는 텔레그램 계정에 연락하도록 유도하여 후속 사기를 진행합니다
   ❗ 안전 알림 :
6. 앞서 언급한 바와 같이, 해커는 다이렉트 메시지를 보낸 후 즉시 삭제하여, 계정 소유자가 자신의 계정이 해킹당했음을 인지하기 어렵게 만듭니다.
7. 이것은 사기 정보가 인증된 공식 계정에서 올 수 있는 이유를 설명하며, 이러한 계정은 아무런 조치를 취하지 않았습니다 ------ 그들 또한 여전히 속고 있습니다.
   네 번째 단계: 다음 피해자가 해커와 텔레그램에서 연락 을 맺으면, 해커는 자신이 가장한 신분에 따라 적절한 사기 방식을 선택합니다
   ❗ 안전 알림 :
8. 해커가 거래소 직원으로 가장한 경우, 일반적으로 상장 협력을 명목으로 피해자에게 송금을 유도합니다.
9. 해커가 프로젝트 측 직원으로 가장한 경우, 일반적으로 초기 투자 참여를 명목으로 피해자에게 송금을 유도합니다.
10. 해커가 투자 기관 직원으로 가장한 경우, 일반적으로 투자 협력 등의 명목으로 피해자에게 송금을 유도합니다.
11. 해커가 가장한 신분으로 직접적으로 금전적 이익을 얻기 어려운 경우, 이를 발판으로 삼아 관계망 내의 다른 사람들에게 트로이 목마 프로그램을 설치하도록 유도하여, 상대방의 계정 권한을 획득하고 해커의 새로운 사기 도구가 됩니다.

요약

이 글에서 언급된 해커 공격 및 수익 방식은 과거와 동일한 점이 있습니다. 해커는 여전히 트로이 목마를 심어(특정 파일 설치) 피해자의 장치를 제어해야 합니다. 그러나 다른 점은 해커가 여러 가지 최적화를 했다는 것입니다:

1. 이미 장악한 인증된 트위터 계정으로 피해자에게 다이렉트 메시지를 보내면 신뢰도를 크게 높이고 사기 성공률을 향상시킬 수 있습니다.
2. 다이렉트 메시지 후 즉시 삭제하여, 계정 소유자가 이상을 인지하지 못하게 하여 해당 계정에 장기간 잠복할 수 있습니다 ------ 과거 사례에서 해커는 계정을 확보한 후 즉시 사기 트윗을 게시하여 가짜 활동, Scam 토큰 등의 방식으로 빠르게 수확했지만, 이러한 방식은 즉시 계정 소유자와 대중의 경각심을 불러일으킵니다.
3. 해커가 피해자와 추가적으로 소통하기 위해 사용하는 텔레그램 계정도 정교하게 위장되어 있으며, 일반적으로 공식 직원과 매우 유사한 ID를 사용합니다.

유사한 피싱 공격을 인식하고 방지하는 방법

1. "공식" 계정에서 오는 초대라도 모든 초대에 주의하십시오. 초대를 받을 때, 다른 경로를 통해 초대자의 신원을 확인하십시오. "아는 사람"이라면, 대화 전에 이전 대화 기록이 여전히 존재하는지 확인하십시오.
2. 회의 중 상대방이 보낸 파일을 임의로 다운로드하거나 열지 마십시오. Teams 또는 Zoom과 같은 회의 클라이언트를 설치해야 하는 경우, 반드시 Teams 또는 Zoom의 공식 웹사이트에서 다운로드하십시오. 이 점은 매우 중요합니다.
3. 소통 과정에서 비디오 및 음성 권한만 부여하십시오. Zoom이나 Teams에 다른 권한을 부여하지 말고, 해커가 원격으로 당신의 컴퓨터를 제어하는 것을 방지하십시오.
4. 소통 중 어떤 이유로든 컴퓨터에서 멀어지지 마십시오. 정말 필요한 경우, 다른 사람과 함께 화면을 지켜보게 하여 해커가 당신이 없는 틈을 타서 컴퓨터를 조작하지 않도록 주의하십시오.
5. 복구 구문을 컴퓨터나 휴대폰에 백업하지 마십시오. MFA(다중 인증)를 활성화할 수 있는 곳은 최대한 활성화하십시오.
6. 자금과 관련된 휴대폰은 iPhone을 사용하고 최신 버전으로 업그레이드하십시오. 잠금 모드를 활성화하고, 외부 소통에 가능한 한 적게 사용하며, 업무 및 사교용 컴퓨터나 휴대폰과 분리하십시오.

계정이 해킹당했나요? 신속하게 대응하여 손실을 줄이는 방법

아무리 방어를 철저히 하더라도 "걸릴" 수 있는 가능성이 있습니다. 계정이 해킹당한 것을 발견하면, 반응 속도가 손실의 정도를 결정합니다.

1. 컴퓨터를 끄고, 인터넷을 차단하여 해커의 컴퓨터 침해를 즉시 차단하십시오.
2. 자금 안전 점검(지갑 권한이 포함된 경우) 해커가 당신의 로컬 지갑(브라우저 플러그인, 개인 키 저장소)에 접근했을 가능성이 있으므로, 즉시 자산을 새 지갑으로 이전하십시오(개인 키를 재생성하고 동일한 복구 구문을 사용하지 않는 것이 좋습니다).
3. 다른 장치/이메일에서 즉시 계정을 되찾으십시오. 계정 로그인 상태가 유효할 때, 연결된 이메일 또는 전화번호로 로그인하여 비밀번호를 재설정하고, 즉시 모든 다른 장치의 세션에서 로그아웃하십시오. 계정을 되찾은 후, 즉시 모든 제3자 로그인 권한을 종료하여 해커가 계속해서 계정을 조작하지 못하도록 하십시오.
4. 주변 사람들에게 알리고 경고하십시오. 다른 사람들에게 최근의 다이렉트 메시지 내용을 믿지 말라고 알리고, 이상 계정을 표시하여 더 많은 사람들이 알고 연쇄 피해를 피할 수 있도록 하십시오.