최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- ENS 개발자는 악의적인 공격자가 사용자dent증명을 탈취할 수 있는 구글 인프라 취약점에 대해 사용자들에게 경고했습니다.
- 구글 이메일과 구글 사이트 관련 취약점으로 인해 피싱 공격자는 실제처럼 보이는 보안 경고를 생성할 수 있습니다.
- 구글은 해커들이 다양한 수법으로 사용자 데이터를 훔치고 있는 상황에서도 이러한 취약점에 대해 아직 아무런 조치를 취하지 않고 있습니다.
Ethereum 리움 네임 서비스(ENS) 수석 개발자 닉 존슨은 구글 인프라를 이용한 새로운 유형의 피싱 사기에 대해 암호화폐 사용자들에게 경고했습니다. 존슨은 X에 올린 글에서 사기꾼들이 구글 인프라의 취약점을 어떻게 악용하는지 설명했습니다.
에 따르면 존슨, 사기꾼들은 구글이 사용자의 구글 계정 정보를 제출하라는 소환장을 발부했다는 내용의 이메일을 보낼 수 있습니다. 완전히 진짜처럼 보이는 이 보안 경고는 사용자에게 소환장에 이의를 제기하거나 사건 자료를 검토하라고 요구합니다.
그는 이렇게 말했다:
"우선, 이 이메일은 유효한 서명이 있는 이메일이며, 실제로 [email protected]. DKIM 서명 검사를 통과했고, Gmail은 아무런 경고 없이 이를 표시하며, 다른 정상적인 보안 알림과 같은 대화창에 배치합니다."
사용자가 이메일의 링크를 클릭하면, 해당 지원 페이지에 가입하라는 메시지가 나타납니다. 하지만 이 지원 페이지의 URL은 sites.google.com으로, 사용자를 속여 진짜처럼 보이게 하려는 속임수입니다. 존슨에 따르면, 이 가짜 지원 페이지는 사기꾼들이 사용자의 로그인dent를 빼내는 피싱 사이트일 가능성이 높습니다.
ENS 개발자는 구글이 해당 취약점에 대해 조치를 취하지 않고 있기 때문에 앞으로도 계속 문제가 될 가능성이 높다고 지적했습니다. 따라서 사용자들이 이 취약점을 인지하고 스스로를 보호하는 것이 중요합니다.
사기꾼들이 구글 사이트를 악용하여 가짜 지원 페이지를 만들고 있습니다
한편, 존슨은 악의적인 공격자들이 어떻게 진짜처럼 보이는 가짜 구글 지원 페이지를 만들었는지 설명했습니다. 그의 설명에 따르면, sites.google.com은 사용자가 Google.com 하위 도메인에 콘텐츠를 호스팅할 수 있도록 해주는 구글의 기존 제품입니다.
그는 해당 제품이 스크립트와 임베드를 허용한다는 점을 지적하며, 이것이 사기꾼들이 구글 서브도메인에dent정보 수집 사이트를 구축하고 구글 팀이 이전 버전을 삭제할 때마다 새 버전을 업로드할 수 있는 방법이라고 설명했습니다.
존슨은 이렇게 말했다:
"구글은 오래전에 사용자가 지정한 공개 콘텐츠를 google.com에 호스팅하는 것이 좋지 않다는 것을 깨달았지만, 구글 사이트는 여전히 남아 있습니다."
하지만 그는 이 문제에 대한 유일한 해결책은 구글이 구글 사이트에서 스크립트와 임의 삽입을 비활성화하는 것이라고 지적했습니다. 왜냐하면 이러한 기능 때문에 구글 사이트가 사기꾼들에게 강력한 피싱 도구로 이용되고 있기 때문입니다.
구글에 버그 보고서를 제출하세요
흥미롭게도 사기범들은 Gmail의 버그를 악용하여 가짜 보안 경고 이메일을 생성하고 있습니다. 존슨은 이메일 분석에서 이메일 헤더에 "privateemail.com"에서 발송되었다는 점, 수신자가 'me@blah'라는 점, 그리고 피싱 메시지 아래에 공백이 있다는 점 등을 단서로 지적했습니다.
그에 따르면 사기꾼들은 Me@domain이라는 이름으로 구글 계정을 만들었습니다. 그 후, 피싱 이메일에 있는 텍스트와 공백, 그리고 "Google Legal Support"라는 애플리케이션 이름을 사용하여 구글 OAuth 애플리케이션을 생성했습니다.
이 과정을 완료한 후, 그들은 OAuth 앱에 'me@…' 구글 계정에 대한 접근 권한을 부여하여 구글로부터 me@ 이메일 주소로 보안 경고 메시지를 생성할 수 있도록 했습니다. 그리고 이 보안 경고 메시지를 모든 잠재적 공격 대상에게 전달했습니다.
구글이 최초 보안 경고 이메일을 생성했기 때문에 해당 이메일은 유효한 DKIM 키로 서명되어 모든 보안 검사를 우회했고, 사용자의 받은 편지함에 정상적인 메시지로 표시되었습니다.
하지만 존슨은 해당 버그에 대해 구글에 보고서를 제출했지만, 구글은 이를 해결하지 않기로 결정했다고 밝혔습니다. 구글 보안팀은 해당 기능이 "의도대로 작동"하고 있다고 판단하여 보고서를 종결 처리했는데, 이는 구글이 이를 버그로 간주하지 않았다는 의미입니다.
한편, 피싱 사기범들이 구글의 취약점을 악용해 사용자 정보를 탈취하고 있다는 보고는 암호화폐 사용자들에게 여러 위협이 존재함을 보여줍니다. 불과 며칠 전, 보안 전문가들은 해커들이 InfoStealers라는 악성코드를 이용해 브라우저에서 사용자dent증명을 훔치고 있다고 주장했습니다.
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)