암호화폐 피싱이란 무엇이며 어떻게 안전을 유지할 수 있습니까?

암호화폐 피싱의 정의

1. 암호화폐 피싱은 사용자를 속여 개인 키, 시드 문구 또는 로그인 자격 증명을 공개하도록 하기 위해 위협 행위자가 합법적인 암호화폐 플랫폼, 거래소 또는 지갑 공급자를 사칭하는 데 사용하는 기만적 기술입니다.

2. 공격자는 MetaMask, Binance 또는 Coinbase와 같은 신뢰할 수 있는 서비스의 디자인과 브랜딩을 반영하는 가짜 웹사이트를 배포하는 경우가 많습니다. 파비콘, 레이아웃, 도메인 스푸핑을 통해 얻은 SSL 인증서까지 포함합니다.

3. 이러한 사기 사이트는 악의적인 SEO 조작으로 인해 검색 엔진 결과에 나타나거나 손상된 소셜 미디어 계정 및 텔레그램 채널을 통해 배포될 수 있습니다.

4. 위조 dApp 인터페이스에서 "지갑 연결"을 클릭하는 것과 같은 단 한 번의 실수로 인해 사용자 자금에 대한 완전한 통제권을 부여하는 무단 서명 요청이 발생할 수 있습니다.

5. 기존 이메일 기반 피싱과 달리 암호화 피싱은 중앙 집중식 감독이 부족한 트랜잭션 서명, 지갑 권한 및 분산 애플리케이션 상호 작용과 같은 블록체인 관련 동작을 자주 악용합니다.

일반적인 전달 벡터

1. 텔레그램 그룹 및 채널은 피싱 링크의 주요 배포 허브 역할을 하며, 사기꾼은 프로젝트 관리자 또는 커뮤니티 중재자로 가장하여 가짜 에어드랍 청구 페이지를 배포합니다.

2. Phantom이나 Trust Wallet과 같은 인기 있는 지갑 도구를 모방한 가짜 브라우저 확장 프로그램이 비공식 앱 스토어에서 발견되어 지갑 초기화 중에 악성 스크립트를 삽입합니다.

3. 손상된 GitHub 저장소는 감사 준비 템플릿으로 위장한 숨겨진 지갑 배수 로직을 포함하는 수정된 오픈 소스 스마트 계약 코드를 호스팅합니다.

4. 검색 엔진 중독은 상호작용 시 피싱 도메인으로 리디렉션되는 스크립트 태그가 포함된 공식 문서 사이트(Ethereum.org 또는 Solana Docs)의 복제된 버전으로 사용자를 직접 유도합니다.

5. 교환 지원팀을 사칭하는 SMS 및 WhatsApp 메시지는 피해자에게 "의심스러운 로그인"을 알리고 위조된 포털에 즉시 자격 증명을 다시 입력하도록 합니다.

지갑 수준의 악용 전술

1. 악성 dApp은 여러 체인의 모든 토큰에 대한 액세스를 포함하여 지갑 연결 중에 과도한 권한을 요청합니다. 이는 사용자가 거의 면밀히 조사하지 않는 위험 신호입니다.

2. 서명 피싱 공격은 서명을 위해 무해해 보이는 메시지를 표시하지만 기본 페이로드는 공격자가 제어하는 ​​주소로 무제한 토큰 전송을 승인합니다.

3. 하드웨어 지갑 사용자도 면역되지 않습니다. 공격자는 가짜 Ledger 또는 Trezor 업데이트 페이지에서 악성 부트로더 변종을 설치하는 펌웨어 업그레이드 사기를 전개했습니다.

4. 시드 구문 수집은 입력된 단어를 명령 및 제어 서버에 자동으로 전송하는 동시에 니모닉 유효성 검사를 시뮬레이션하는 가짜 복구 도구를 통해 발생합니다.

5. localStorage에 저장된 브라우저 기반 지갑은 손상된 DeFi 분석 대시보드에 내장된 크로스 사이트 스크립팅 취약점을 통해 정기적으로 유출됩니다.

반드시 적용해야 하는 검증 프로토콜

1. 민감한 정보를 입력하기 전에 항상 정확한 URL을 확인하십시오. "binanace.com" 또는 "metam4sk.io"와 같은 사소한 오타도 피싱 인프라를 나타냅니다.

2. 검색 결과나 제3자 링크에 의존하지 않고 수동으로 공식 도메인을 북마크에 추가합니다. 확인되지 않은 출처의 단축 URL을 클릭하지 마세요.

3. 모든 거래에 대해 하드웨어 지갑 확인을 활성화하고 원시 16진수 데이터나 디코딩된 의도를 검사하지 않고는 절대 블라인드 서명을 승인하지 마십시오.

4. Etherscan, Solscan 또는 Explorer.solana.com의 확인된 항목과 계약 주소를 대조 확인하십시오. 지갑 인터페이스에만 표시된 주소 라벨을 신뢰하지 마십시오.

5. 알려진 피싱 도메인에 실시간으로 플래그를 표시하는 Google 세이프 브라우징 API 통합이나 브라우저 확장과 같은 도메인 평판 도구를 사용하세요.

자주 묻는 질문

Q1. 피싱 사이트가 페이지를 로드하는 것만으로 내 개인 키를 훔칠 수 있나요? 예. 일부 악성 사이트는 클립보드 내용에서 12단어 또는 24단어 구문을 검사하고 감지되면 자동으로 제출하는 JavaScript를 실행합니다.

Q2. 하드웨어 지갑은 모든 형태의 암호화폐 피싱으로부터 보호합니까? 아니요. 사용자가 가짜 복구 인터페이스에 시드 문구를 수동으로 입력하거나 악의적인 거래 서명을 승인하는 경우 하드웨어 지갑은 보호 기능을 제공하지 않습니다.

Q3. 공용 Wi-Fi 네트워크에서 지갑 확장 프로그램을 사용해도 안전합니까? 아니요. 공용 네트워크는 확장 트래픽을 중간자 가로채기에 노출시켜 세션 하이재킹과 지갑 연결 리디렉션을 가능하게 합니다.

Q4. 공격자는 피싱 도메인에 대해 합법적인 것처럼 보이는 SSL 인증서를 어떻게 얻습니까? 공식 도메인과 매우 유사한 이름으로 도메인을 등록하고 Let's Encrypt와 같은 자동화된 인증 기관을 사용하여 유효한 HTTPS 인증서를 발급하므로 육안 검사가 충분하지 않습니다.