새로운 피싱 공격이 가짜 데이터 유출 알림 이메일을 통해 레저 하드웨어 지갑 사용자들을 표적으로 삼고 있는 것으로 알려졌습니다.
블리핑컴퓨터(BleepingComputer) 의 연구원들은 사기꾼들이 레저(Ledger)의 공식 지원 이메일 주소를 사칭하여 사용자들에게 이메일을 보내고 있다고 보고했습니다. 이들에 따르면, 해당 이메일은 보안 침해로 인해 복구 문구를 확인해야 한다는 내용을 담고 있습니다.
이 사기는 2024년 12월 15일에 시작된 것으로 알려졌으며, 아마존 AWS 인프라를 이용하여 합법적인 것처럼 위장하고 있습니다. 이러한 피싱 공격은 사용자의 24단어 복구 문구를 탈취하여 공격자가 피해자의 암호화폐 자금에 완전히 접근할 수 있도록 설계되었습니다.
이 캠페인은 레저의 2020년 데이터 유출 사건, 즉 고객 정보가 실제로 유출되었던 사건에서 비롯된 실질적인 우려를 이용하고 있기 때문에 특히 효과적인 것으로 보입니다.
암호화폐 피싱 캠페인이 공식적으로 시작된 것으로 보입니다
사기성 이메일은 공식적인 것처럼 보이도록 치밀하게 구성된 패턴을 따릅니다. 제목은 "보안 경고: 데이터 유출로 복구 문구가 노출될 수 있습니다"이며, 발신지는 "Ledger [email protected] "처럼 보입니다. 그러나 조사 결과 사기범들은 SendGrid 이메일 마케팅 플랫폼을 이용하여 이러한 메시지를 배포하고 있는 것으로 드러났습니다.
사용자가 이메일에 있는 "복구 문구 확인" 버튼을 클릭하면 여러 단계를 거치게 됩니다. 첫 번째 리디렉션은 product-ledg.s3.us-west-1.amazonaws.com이라는 의심스러운 URL의 Amazon AWS 웹사이트로 연결됩니다. 거기서 사용자는 피싱 사이트로 이동하게 됩니다.
해당 피싱 웹사이트는 뛰어난 기술적 역량을 보여줍니다. 웹사이트에는 입력된 각 단어를 암호화폐 복구 문구에 사용되는 2,048개의 유효 단어와 대조하는 검증 시스템이 포함되어 있습니다. 이러한 실시간 검증 기능 덕분에 피해자들은 해당 사이트가 더욱 합법적이라고 생각하게 됩니다.
공격자들은 또 다른 기만적인 요소를 추가했습니다. 사이트는 입력한 문구가 항상 유효하지 않다고 표시하여 여러 번 시도하도록 유도하고, 아마도 올바른 복구 단어를 입력했는지 다시 확인하도록 하는 것입니다.
이와 유사한 사기 수법이 추가로dent되었습니다. 일부 이메일은 펌웨어 업데이트 알림으로 위장했지만, 사용자의 복구 문구를 탈취하여 암호화폐 지갑에 접근하려는 동일한 목적을 가지고 있습니다. 사용자가 입력한 단어는 즉시 공격자의 서버로 전송됩니다.
Ledger는 여러 차례 보안 관련 주의사항을 발표했습니다
레저는 이번 피싱 공격에 대응하여 여러 차례 보안 관련 주의사항을 발표했습니다. 레저는 이메일, 웹사이트 또는 기타 어떤 수단을 통해서도 복구 문구를 요구하지 않는다고 강조했습니다.
그 이후로 공유된 몇 가지 보안 권장 사항은 복구 문구의 유일한 합법적인 사용처는 새 하드웨어 지갑을 처음 설정할 때 또는 기존 지갑에 대한 접근 권한을 복구할 때이며, 이러한 작업은 반드시 Ledger 기기 자체에서만 수행해야 한다는 점을 사용자에게 상기시켜 주었습니다.
사용자 보호를 위한 보안 권장 사항에서는 이메일 링크를 클릭하는 대신 Ledger의 웹 주소(ledger.com)를 브라우저에 직접 입력하도록 당부했습니다.
둘째, Ledger에서 보낸 것처럼 위장한 이메일, 특히 데이터 유출을 언급하거나 즉각적인 조치를 요구하는 이메일은 극도로 주의해서 처리해야 한다는 점을 사용자들에게 알렸습니다. 셋째, 복구 문구는 디지털 기기와 떨어진 안전한 물리적 장소에 오프라인으로 저장하는 것이 좋다는 점을 사용자들에게 다시 한번 강조했습니다.
의심스러운 이메일이나 웹사이트에 이미 접속한 사용자들은 즉각적인 조치를 취해야 합니다. 복구 문구를 웹사이트에 입력한 사용자는 즉시 새로운 복구 문구가 있는 새 지갑으로 자금을 이체해야 합니다. 기존 지갑은 이미 손상된 것으로 간주하여 더 이상 암호화폐를 보관하는 데 사용해서는 안 됩니다.
