피싱 사기로부터 자신을 어떻게 보호하나요?

암호화폐 생태계에서의 피싱 이해

1. 피싱 공격은 가짜 웹사이트 및 이메일을 통해 Binance, MetaMask 또는 Coinbase와 같은 합법적인 플랫폼을 사칭하여 암호화폐 사용자를 대상으로 합니다.

2. 사기꾼은 사용자가 개인 키나 시드 문구를 입력하도록 속이기 위해 "metamask.org" 대신 "metamask-secure[.]com"과 같이 약간의 철자를 변형하여 도메인을 등록하는 경우가 많습니다.

3. 악성 dApp의 지갑 연결 프롬프트는 불필요한 권한을 요청할 수 있으며, 승인되면 무단 토큰 전송이 가능해집니다.

4. 가짜 텔레그램 또는 Discord 그룹은 공식 커뮤니티 채널을 모방하여 손상된 지갑 연결 링크 또는 악성 코드가 포함된 에어드롭 요청 페이지를 배포합니다.

5. 사용자가 키 입력을 기록하고 자격 증명을 유출하는 MetaMask의 위조 버전을 설치하면 브라우저 확장 하이재킹으로 인해 실제 손실이 발생합니다.

상호 작용 전 진위 여부 확인

1. 이메일, DM 또는 검색 엔진 결과의 링크를 클릭하기보다는 항상 브라우저 주소 표시줄에 알려진 공식 URL을 수동으로 입력하세요.

2. 유효한 SSL 인증서를 확인하고 도메인 이름을 문자별로 검사합니다. 라틴 문자와 시각적으로 유사한 키릴 문자 또는 그리스 문자를 사용하는 동형이의어 공격을 찾습니다.

3. 공식 인증 배지를 사용하여 소셜 미디어 계정을 상호 참조하고 팔로어 수, 게시물 기록 및 플랫폼 전반에 걸친 공지 일관성을 비교합니다.

4. 인터페이스가 합법적인 것처럼 보이더라도 거래에 서명하기 전에 Etherscan 또는 Solscan에서 정확한 계약 주소를 확인하여 지갑 연결 요청을 확인하세요.

5. 브라우저 확장 프로그램에서 자동 지갑 연결을 비활성화하고 사이트에서 액세스를 요청할 때마다 명시적인 사용자 확인을 요구합니다.

지갑 인프라 확보

1. 클라우드 저장소, 스크린샷 또는 메시징 앱이 아닌 안전한 물리적 위치에 보관된 금속 백업 장치 또는 손으로 쓴 종이에 시드 문구를 오프라인으로만 저장합니다.

2. 고가치 보유를 위해 Ledger 또는 Trezor와 같은 하드웨어 지갑을 사용하여 변조 방지 환경 내에서 개인 키 작업이 이루어지도록 합니다.

3. 자금 이동 전에 여러 독립 장치 또는 신뢰할 수 있는 당사자의 승인을 요구하는 중요한 지갑에 대한 다중 서명 요구 사항을 활성화합니다.

4. 다양한 목적을 위해 별도의 지갑을 만듭니다. 하나는 일일 거래용, 다른 하나는 장기 보유용, 세 번째는 신뢰할 수 없는 dApp과의 상호 작용용입니다.

5. Revoke.cash 또는 Etherscan의 토큰 승인 탭과 같은 도구를 통해 지갑 거래 내역 및 토큰 승인을 정기적으로 감사하여 무단 허용을 감지합니다.

사회 공학 위험 신호 인식

1. “지금 인증하지 않으면 2시간 안에 지갑이 동결됩니다”라는 즉각적인 조치를 요구하는 긴급한 언어는 피싱 시도의 특징입니다.

2. 비현실적인 수익, 보장된 에어드롭 또는 무료 NFT 발행 제안은 종종 지갑 서명을 수집하거나 악의적인 계약을 배포하는 미끼 역할을 합니다.

3. 귀하의 계정이 손상되었다고 주장하고 복구 문구의 스크린샷을 요구하는 원치 않는 지원 요청은 모든 보안 모범 사례를 위반합니다.

4. 교환 직원을 사칭하여 원격 데스크톱 액세스 또는 화면 공유를 요청하는 음성 또는 영상 통화는 합법적인 암호화 서비스 제공업체에 의해 시작되지 않습니다.

5. 일치하지 않는 로고, 일관되지 않은 글꼴, 손상된 레이아웃 요소 등 브랜딩 불일치는 잘못 구성된 피싱 인터페이스를 나타냅니다.

자주 묻는 질문

Q: 피싱 계약으로 전송된 자금을 복구할 수 있나요? A: 블록체인 거래는 되돌릴 수 없고 분산되어 있으므로 토큰이 사기꾼이 통제하는 주소로 전송되면 일반적으로 복구가 불가능합니다.

Q: 모바일 브라우저에서 지갑 확장 기능을 사용해도 안전한가요? 답변: 대부분의 모바일 브라우저는 지갑 확장을 안전하게 지원하지 않습니다. iOS/Android의 Safari 또는 Chrome을 통해 직접 지갑을 연결하는 것을 피하세요. 대신 전용 지갑 앱을 사용하세요.

Q: 피싱 사이트가 Google 검색결과에 표시되는 경우가 있나요? A: 그렇습니다. 사기꾼은 SEO 포이즈닝 기술을 사용하여 공식 도메인보다 악성 도메인을 더 많이 사용합니다. 1위를 차지하더라도 진행하기 전에 항상 URL을 확인하세요.

Q: 바이러스 백신 소프트웨어가 암호화폐 피싱 페이지를 탐지할 수 있습니까? A: 일부 엔드포인트 보안 도구는 알려진 피싱 도메인에 플래그를 지정하지만 새로 등록된 사기 사이트나 제로데이 사기 사이트를 포착할 수 없습니다. 수동 확인은 여전히 ​​필수입니다.