해커가 SIM 스푸핑 공격을 이용해 레딧 사용자를 속였습니다

불과 6일 전, 한 레딧 사용자가 1,200달러 상당의 이더리움을 단 몇 초 만에 잃었다고 글을 올린 데 이어, 또 다른 레딧 사용자가 해커에게 암호화폐 자산을 또다시 잃었습니다. 그는 HodlHodl 플랫폼에서 거래를 진행하던 중, Revolute에서 온 것처럼 위장한 메시지를 받고 SIM 스푸핑 공격에 속아 넘어갔습니다.

SIM 스푸핑 공격으로 간델로프트가 비트코인을 넘겨준 방법

사기 피해를 당해 레딧에 자신의 경험담을 올린1,677달러 상당의 비트코인을 유로로 바꾸고 싶어 했습니다. 그는 비트코인 ​​거래 사이트인 HodlHodl에서 구매자를 찾던 중 1,650유로(미화 1,848달러 상당)를 제시한 구매자를 만났습니다. 비트코인 ​​가격이 급락한 탓에 구매자가 제시한 가격은 당시 시장가보다 훨씬 높았습니다.

그러나 구매자는 Revolut 앱을 사용하여 결제할 것이라고 말하며 거래를 진행하기 위해 Gandeloft에게 자신의 전화번호를 보내달라고 요구했습니다. 이후 Gandeloft는 Revolut에서 보낸 것으로 추정되는 문자 메시지를 에는 "Sam BTC"라는 참조 번호와 함께 1,650유로의 결제가 확인되었다는 내용이 담겨 있었습니다.

간델로프트가 받은 2단계 인증 코드 덕분에 이체 과정은 정상적으로 보였습니다. 레볼루트 앱에는 입금 내역이 나타나지 않았지만, 그는 이후 합의 내용 때문에 본인의 의사와 상관없이 비트코인을 보내도록 압력을 받았습니다.

간델로프트는 인터뷰에서 레볼루트 측이 자신이 받은 문자 메시지를 보내지 않았다고 확인해줬다고 밝혔습니다. 또한 레볼루트는 해커 검거에 도움이 될 만한 정보도 제공하지 않았습니다. 간델로프트는 레볼루트 측에서 고객 정보는 제공하지 않으며, 은행에 문의해 보라고 했지만, 은행에서 할 수 있는 일은 거의 없었다고 말했다고 전했습니다.

SIM 기반 공격 급증

피싱 공격을 시도하는 해커는 쉽게dent할 수 있지만, 일단 공식 주소를 확보하면 식별하기가 매우 어려워집니다. SIM 스푸핑 공격은 실행은 매우 간단하지만dent하기는 극히 어렵습니다. 다만, 국가별로 공격 방식은 다를 수 있습니다.

이동통신 사업자 역시 유심 교체 공격에 취약합니다. 이들은 고객 서비스 담당자를 속여 다른 통신사의 전화번호로 교환하도록 유도하는 방식으로 유심을 교체합니다. 하지만 이러한 속임수를 쓰는 방법은 다양합니다.