피싱 공격을 피하는 방법은 무엇입니까? (사이버 보안)

의심스러운 URL 인식

1. 링크를 클릭하기 전에 항상 도메인 이름을 검사하십시오. 공격자는 적법한 도메인을 시각적으로 모방하는 비 라틴어 스크립트의 문자를 사용하여 동형이의어 공격을 사용하는 경우가 많습니다.

2. HTTPS와 유효한 SSL 인증서를 확인하세요. 하지만 암호화가 합법성을 보장한다고 가정하지 마세요. 이제 많은 피싱 사이트가 신뢰할 수 있는 것처럼 보이기 위해 TLS를 배포합니다.

3. 클릭하지 않고 링크 위로 마우스를 가져가면 브라우저의 상태 표시줄이나 도구 설명에서 실제 대상을 미리 볼 수 있습니다. 표시된 텍스트와 실제 URL이 일치하지 않으면 사기를 의미합니다.

4. 신뢰할 수 있는 도구를 통해 확인하지 않는 한 단축 URL을 사용하지 마세요. 이는 실제 엔드포인트를 모호하게 하며 자격 증명 수집 캠페인에서 자주 남용됩니다.

5. 검색 결과나 이메일 링크에 의존하는 대신 공식 거래소 및 지갑 서비스 페이지를 수동으로 북마크하세요. 이렇게 하면 실수로 스푸핑된 인터페이스로 리디렉션되는 일이 방지됩니다.

이메일 진위 확인

1. 발신자 주소를 주의 깊게 조사하십시오. 공격자는 실제 서비스를 가장하기 위해 "binanace-support.com" 또는 "metamask-verify.net"과 같은 도메인을 등록합니다.

2. 문법 오류, 일관되지 않은 브랜딩, 긴급한 언어(“귀하의 계정은 2시간 후에 정지됩니다!”) 및 일치하지 않는 로고를 찾으십시오. 이는 대부분의 피싱 시도에 대한 위험 신호입니다.

3. 지갑 업데이트, KYC 양식 또는 보안 경고가 포함되어 있다고 주장하는 원치 않는 이메일의 첨부 파일을 절대 다운로드하지 마십시오. 이러한 파일에는 암호화폐 지갑을 표적으로 하는 악성 코드가 포함되어 있는 경우가 많습니다.

4. SPF, DKIM 및 DMARC 유효성 검사 상태에 대한 이메일 헤더를 교차 확인합니다. 합법적인 플랫폼은 엄격한 이메일 인증 정책을 시행합니다.

5. 의심스러운 메시지에 답장을 보내는 대신 공식 웹사이트 채널을 통해 직접 지원팀에 문의하세요. 답장 주소는 쉽게 위조됩니다.

지갑 상호작용 보안

1. 분산형 애플리케이션에 액세스할 때 브라우저의 자동 채우기 기능을 비활성화합니다. 악성 dApp은 자동 완성된 시드 문구 또는 개인 키를 캡처하는 스크립트를 삽입할 수 있습니다.

2. 모든 중요한 자산에 대해 하드웨어 지갑을 사용하고 서명하기 전에 장치에서 거래 세부 정보를 확인하십시오. 화면 오버레이와 가짜 MetaMask 팝업은 사용자를 속여 무단 전송을 승인하도록 유도했습니다.

3. "복구 포털"이라고 주장하더라도 웹사이트에 시드 문구를 입력하지 마십시오. 합법적인 서비스는 온라인에서 전체 니모닉 백업을 요구하지 않습니다.

4. 공식 소스에서만 MetaMask와 같은 평판이 좋은 브라우저 확장 프로그램을 설치하십시오. 타사 상점의 위조 버전으로 인해 1억 달러 이상의 디지털 자산이 도난당했습니다.

5. 지원되는 경우 EIP-712 서명 확인을 활성화합니다. 이는 서명 재생 공격을 방지하고 계약 상호 작용 중에 메시지 무결성을 보장합니다.

다단계 인증 방식

1. 거래소 계정에 대해 SMS 기반 2FA보다 인증 앱을 선호합니다. SIM 스와핑은 여전히 ​​암호화폐 거래소 로그인을 가로채는 주요 벡터입니다.

2. 오프라인으로 안전한 물리적 위치에 백업 코드를 저장하세요. 클라우드에 동기화된 메모나 암호화되지 않은 스크린샷은 공격자에게 복구 경로를 노출시킵니다.

3. 각 플랫폼마다 고유하고 복잡한 비밀번호를 사용하고 정기적으로 교체하십시오. 크리덴셜 스터핑 공격은 여러 교환에서 재사용된 자격 증명을 악용합니다.

4. 고가치 계정을 위한 WebAuthn 호환 보안 키 등록 - FIDO2 표준은 암호화 문제를 특정 출처에 바인딩하여 피싱 취약성을 제거합니다.

5. Exchange 보안 대시보드를 통해 매월 활성 세션을 감사합니다. 승인되지 않은 장치 또는 익숙하지 않은 IP 위치는 사전 손상을 나타낼 수 있습니다.

자주 묻는 질문

Q: 새로운 토큰 목록에 대한 "조기 액세스"를 제공한다고 주장하는 Telegram 그룹을 신뢰할 수 있습니까? 아니요. 공식 토큰 출시는 비공식 텔레그램 그룹을 통해서만 이루어지지 않습니다. 검증된 발표는 항상 프로젝트 소유의 Twitter/X 계정, 공식 웹사이트 또는 Binance Launchpool과 같은 감사를 받은 런치패드 플랫폼에서 비롯됩니다.

Q: CoinGecko에 표시된다는 이유만으로 내 지갑을 새로운 DeFi 프로토콜에 연결해도 안전합니까? 아니요. CoinGecko 상장은 보안 감사 완료 또는 스마트 계약 무결성을 의미하지 않습니다. 상호 작용하기 전에 항상 CertiK 또는 OpenZeppelin과 같은 회사의 제3자 감사 보고서를 확인하세요.

Q: 피싱 사이트에 실수로 시드 문구를 입력한 경우 어떻게 해야 하나요? 손상된 지갑의 모든 자금을 새로 생성된 에어갭 지갑으로 즉시 이체하십시오. 모든 통제권이 상실되었다고 가정하고 원본 시드를 공개적으로 노출된 것으로 취급하십시오.

Q: VPN을 사용하면 피싱 공격으로부터 보호받을 수 있나요? 아니요. VPN은 장치와 인터넷 게이트웨이 간의 트래픽을 암호화하지만 사기성 웹 사이트, 악의적인 리디렉션 또는 피싱에 사용되는 사회 공학 전술에 대한 보호 기능은 전혀 제공하지 않습니다.