챗봇, 유명인, 피해자를 다시 표적으로: 암호화폐 경품 사기가 지금도 성공적인 이유
편집 및 추가 기여: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai의 연구원들은 유명인과 브랜드, 특히 일론 머스크(Elon Musk) 및 그와 관련된 기업을 가장한 여러 가지 암호화폐 경품 사기 키트를 모니터링해왔습니다. 사기는 다양한 소셜 미디어 플랫폼뿐만 아니라 WhatsApp이나 Telegram 같은 다이렉트 메시지 전송 앱을 통해 전달됩니다.
사기 키트는 카운트다운 타이머, 라이브 채팅 기능, '간편한 경품 참가'를 위한 봇 등 수많은 소셜 엔지니어링 기술을 활용해 성공을 보장합니다.
IP 주소를 기준으로 검토한 결과, 대부분의 키트는 러시아와 기타 유럽 지역에서 발생한 것으로 보입니다.
일부 키트에는 피해자에 대한 정보와 피해자가 방문한 사이트에 대한 메모를 공격자에게 다시 보내는 기능이 있습니다.
이러한 키트 대부분의 기술 사양은 비교적 간단하지만, 사기를 여러 각도에서 상세히 살펴보면 암호화폐 사기가 계속 수익을 올리는 이유가 드러납니다.
서론
피싱과 기타 사기를 막기 위한 싸움은 수년간 지속되고 있습니다. 연인 , IRS 등 피해자는 바뀔 수 있지만, 사기의 기본 원칙은 20년 전과 다를 것이 없습니다. 피싱 피해자는 현재 이벤트, 개인적인 상황, 감정적인 반응을 이용하려는 공격자에 의해 악용당합니다.
대중의 인식이 제고되었음에도 사기는 계속 성공하고 있습니다. 2021년 이후 암호화폐 사기 피해액만 10억 달러를 넘어섰으며, 암호화폐가 사회에 더 깊이 뿌리 내림에 따라 피해는 더 증가할 것으로 보입니다.
몇 년 동안 암호화폐와 소셜 미디어는 사기꾼들이 악용하기 좋은 비옥한 토대였습니다. 공격자들은 가짜 계정을 만들어 브랜드, 유명인, 기타 저명인사를 가장할 수 있습니다. Akamai는 사람과 브랜드로 가장해 잠재적인 피해자로부터 암호화폐를 훔치는 데 성공한 사기 키트를 분석했고, 암호화폐 경품 사기의 피해자가 되지 않는 방법의 목록을 작성했습니다. 이 게시물에서는 인식을 높이기 위해 기술적인 관점에서 사기 키트를 살펴보겠습니다.
암호화폐 경품 사기란 무엇일까요?
암호화폐 경품 사기는 소셜 미디어 및 피싱 캠페인을 활용해 고수익 경품을 제공하고 암호화폐 애호가들의 신뢰를 얻는 사기 형태입니다. 일반적인 방법은 팔로워가 많고 암호화폐 커뮤니티에서 존재감이 있는 일론 머스크(Elon Musk)처럼 상당한 재정 자원을 보유한 유명인을 가장하는 것입니다.
현재의 인기 있는 코인의 악용, 잘 알려진 이름과 브랜드의 비정상적인 활용, YouTube 계정 탈취, 가짜 코인 생성, 심지어 대면 회의 주최까지, 사기를 정상적으로 보이게 만드는 다양한 활동들이 있습니다.
암호화폐 경품 사기는 어떻게 작동하나요?
전송 매체는 다양하지만, 사기의 기본 방법은 동일합니다. 즉 피해자를 키트 사이트로 유도하고 피해자가 암호화폐를 사기 지갑에 전송하도록 설득합니다.
사기 전송
사기는 다양한 수준으로 정교하게 전송됩니다. 가장 일반적인 방법은 Twitter, Telegram, YouTube 등의 소셜 미디어 플랫폼을 사용하는 것입니다. 공격자는 소셜 엔지니어링의 발전과 더불어 이러한 기법을 통해, 많은 대상에 도달하고, 공격 성공 가능성을 높일 수 있습니다.
표적 피해자가 사기가 정상적인지 독립적으로 확인하려는 시도를 하지 않도록 피해자와 충분한 신뢰를 쌓으려는 것입니다.
그림 1에서 이에 대한 예를 볼 수 있습니다. 이 스크린샷에서 사칭된 사람(머스크)은 사기꾼이 푸시하는 링크를 정상적으로 보증한 것처럼 보입니다. Twitter 계정을 대강 살펴만 봐도 이 스크린샷 사실이 아니라는 것을 간단히 확인할 수 있으므로 표적 피해자가 계정을 확인하지 못하게 해야 합니다.
그림 1: 암호화폐 사기를 정상적인 것으로 가장한 트윗의 허위 스크린샷
사기꾼이 잠재적인 피해자를 확보하는 수단으로 정상적인 주체가 개시한 긴 스레드의 트윗에 답하는 것도 일반적인 기법입니다. 최초 트윗이 암호화폐와 아무 상관이 없더라도 사칭된 주체가 암호화폐에 관련이 있는 것으로 잘 알려져 있기 때문에 팔로워들도 관심을 가질 수 있습니다. 정상적인 트윗에 회신하는 목적은 두 가지입니다. 즉, 많은 팔로워를 활용해 사기를 널리 전파하고, 해당 주체와 관계가 있는 것으로 가장하는 것입니다(그림 2).
그림 2: 사기를 확산하는 트윗의 예시
WhatsApp이나 Telegram 등 다이렉트 메시지 전송 플랫폼을 통해 사기를 전송하는 것도 일반적입니다. 이러한 앱에는 다양한 관심사를 가진 대규모 그룹이 있으며, 암호화폐는 인기 있는 주제입니다. 공격자는 이러한 그룹에 침투해, 참가자, 관련 연예인 또는 관련 유명인과 가까운 사람인 것처럼 가장하고, 사기 링크를 게시합니다(그림 3). 이러한 링크는 꽤 정상적으로 보일 수 있으며, 그중 일부에는 '손쉬운 참여'를 위한 봇이 내장되기도 합니다.
그림 3: WhatsApp 및 Telegram을 통해 전송된 사기 예시
사기 키트 사이트
공격자는 소셜 엔지니어링과 고액 암호화폐 약속을 통해 사기 수익성을 크게 높였습니다. 공격자는 코인의 인기, 유명인 또는 기타 알려진 인물, 특정 기업과의 제휴 같은 업계 정보를 활용해 매우 현실적인 피싱 키트를 만듭니다(그림 4).
그림 4: 암호화폐 사기 키트 사이트의 예시
이러한 사이트는 해당 사이트의 사용자와 신뢰를 구축하도록 제작되었습니다. 그림 4에서 볼 수 있듯이 약간 어색한 영어를 제외하면 사이트는 정상적으로 보입니다. 이는 과거 일반 텍스트 이메일 사기와 크게 다릅니다. 이러한 키트에는 사용자의 '콘테스트 참여'를 도와주는 라이브 챗봇 '기술 지원'도 포함되어 있습니다.
정상적인 마케팅 캠페인 시작 페이지와의 시각적 유사성, '실시간 카운트다운 타이머'를 이용한 시간 압박, 관련 유명인의 '보증' 등 사기의 성공을 보장하기 위한 높은 세부 사항 수준을 보면 사기가 얼마나 수익성이 높은지 알 수 있습니다.
노련한 사용자는 사기를 즉시 알아차릴 수 있습니다. 하지만 평균적인 소셜 미디어 사용자는 쉽게 속을 수 있습니다. 사기 자체는 신뢰를 구축하도록 설계되어 있습니다. 키트는 콘테스트에 한 번 참가만 하는 데 '인증'을 요구합니다. 공격자는 인증 단계가 완료되면 즉시 환불된다고 피해자를 속여 피해자가 암호화폐를 보내게 만듭니다. 이렇게 암호화폐를 받으면 다음 피해자로 넘어갑니다.
다크 웹에 배포된 사기 키트의 기술 분석
키트의 디자인과 느낌은 매우 세련되게 보이지만, 그 뒤에 있는 코드는 매우 간단합니다. Akamai가 관측한 키트들은 기능에 약간의 차이가 있었지만, 백엔드는 비교적 모두 단순했습니다. 다음 구성요소와 함께 HTML과 자바스크립트가 혼합되어 있습니다.
웹사이트에서 Smartsupp 라이브 채팅 서비스를 초기화하고 설정하는 스크립트(그림 5)
Bitcoin 및 Ethereum 주소 값을 포함하는 두 개의 숨겨진 입력 값
몇 가지 형태의 진위를 제공하는 "coinlib.io"부터 라이브 데이터를 보여주는 페이지까지, 암호화폐 위젯을 표시하는 아이프레임(iframe)을 포함해 디자인 및 디스플레이를 위한 HTML 구성요소
분석된 키트 중 일부에는 피해자의 정보 수집과 공격자가 소유한 Telegram 채널로의 푸시도 포함됩니다. 이는 추가 사기를 통해 피해자를 다시 노리는 방법일 수도 있습니다.
그림 5: Smartsupp 위젯
그림 6: Telegram 봇의 코드
그림 6에서 볼 수 있듯이 공격자는 IP API 정보 속성을 사용해 Telegram 봇에 푸시합니다. "Tesla 웹사이트를 방문함"으로 번역되는 러시아어로 된 메시지를 알아보셔야 합니다.
Akamai는 키트에 포함된 Bitcoin 및 Ethereum 주소를 조사했으며, 이 주소는 피해자로부터 지불을 받는 데 사용될 가능성이 높았습니다. 그림 7과 8에서 볼 수 있듯이 지갑은 총 금액이 0.3BTC(검증 시 0.31ETH)인 승인된 자금에 대한 여러 소액 거래를 보여줍니다.
그림 7: 암호화폐 사기 키트의 Bitcoin 지갑 스크린샷
그림 8: 사기 지갑으로 들어오는 여러 암호화폐 거래에 대한 시각 자료
Smartsupp 라이브 채팅 서비스는 이러한 사기 키트를 통해 최근 몇 달 동안 인기를 얻은 기능입니다. 웹사이트 소유자가 고객 지원을 제공하려 하고 있음을 (허위) 표시하는 데 사용되며, 이를 통해 사용자와의 신뢰를 구축할 수 있습니다. 피해자가 서비스를 사용하지 않더라도 서비스가 존재한다는 사실만으로도 신뢰가 쌓입니다. 오늘날 사이트 방문자의 접점으로 챗봇이나 라이브 채팅을 사용하는 것은 일반적인 관행이므로 Tesla로 가장하려는 조직이 사이트에 이와 유사한 기능을 갖추지 않고 있다면 의심스러워 보일 수 있습니다. 표적 피해자가 채팅 기능이 있는 정상적인 사이트를 방문한 적이 있다면 특히 의심할 수 있습니다.
이러한 키트의 또 다른 흥미로운 구성요소는 피해자의 정보를 피해자가 방문한 사이트에 대한 메모와 함께 공격자에게 보내는 것입니다. 즉, 공격자가 여러 가지 사기를 실행하면서 '고객 기반을 구축'하려는 것을 의미할 수 있습니다. 이후 공격자는 다른 사기로 피해자를 노리거나 다른 공격자에게 피해자 정보를 넘길 수 있습니다. 또한 사기 사이트를 추적해 가장 수익성이 높은 사이트를 확인할 수 있습니다. 이러한 사기는 정상적인 마케팅 관행을 모방하는 데 의존하기 때문에 이러한 사이트를 모방하는 것도 당연합니다.
공격자 키트가 발견된 지역
IP 주소에 따르면 Akamai가 관측한 사기 키트의 대부분은 러시아를 중심으로 한 유럽에서 시작되었습니다(그림 9). 이 방법으로 공격 시작점을 확인할 수 없지만, 이 지역에서 관측한 다른 사이버 활동과 관련이 있습니다. 또한 내부 데이터 소스와 Shodan.io 같은 인기 있는 스캔 툴에서 확보한 자료에 따르면 네덜란드, 오스트리아, 이탈리아, 독일, 우크라이나 등에서도 키트가 발견되었습니다.
그림 9: Akamai가 관측한 사기 키트의 대부분은 러시아를 중심으로 한 유럽에서 시작되었습니다.
작동 중인 키트의 샘플
https://tesla-show{.}net
https://elongivex{.}space
https://teslaevent{.}tech
https://tesla-m{.}com
https://spaceX-crew6{.}com
암호화폐 경품 사기의 피해자가 되지 않는 방법
사기 키트는 성공하는 한 계속 나타날 것입니다. 피해자가 되지 않는 방법은 불법 사이트를 경계하는 것뿐입니다. 그림 10의 예시와 같은 암호화폐 경품 사기를 알아채는 것이 매우 중요합니다. 유용한 몇 가지 위험 징후를 소개하겠습니다.
공짜 선물은 없습니다! 공짜로 무언가를 제공하는 것처럼 가장한 사이트를 만나면 각별히 주의하세요. 정상적인 사이트에서도 진정한 무료 선물은 없습니다. 너무 좋아서 사기일 것 같다는 느낌이 들 정도면, 실제로 사기가 맞습니다.
모르는 사람에게 암호화폐를 보내지 마세요. 소셜 미디어상에서 누군가가 암호화폐에 대한 대가로 보상을 약속한다면 그에게 아무것도 보내지 마세요. 사기일 가능성이 높습니다.
계정 상태를 확인하고 또 확인하세요. 최근 Twitter 인증과 관련해 변화가 생기면서 플랫폼에서 정상적인 주체와 비정상적인 주체를 구분하기가 더욱 어려워졌습니다. Twitter의 트레이드인 파란 체크 표시만으로는 충분하지 않지만, 좋은 시작점입니다. Twitter의 웹사이트에서 인증 정책을 자세히 확인할 수 있습니다.
사용자 이름을 확인하세요. 사칭된 유명인 + '소셜 미디어' 조합을 빠르게 검색하면 공식 계정을 찾을 수 있습니다. 공식 계정의 사용자 이름이 현재 상호 작용 중인 계정과 다르면 해당 계정의 사용자 이름은 가짜입니다.
새 계정인 경우를 확인하세요. 유명인이 소셜 미디어 계정을 활발하게 사용한 지 오래됐습니다. 현재 보고 있는 계정이 완전히 새로운 계정인 경우 가짜 계정일 가능성이 높습니다.
직접 확인하세요. 정상적인 경품도 있지만, 항상 확인하는 것이 가장 좋습니다. 규모가 있는 기업의 정상적인 경품은 여러 보도 자료와 기사에 공개되어 있을 것입니다. 그렇지 않으면 사기일 가능성이 높습니다. 또한 다른 사람이 사기로 신고한 계정이나 전화번호는 아닌지 Google에서 검색해 확인할 수 있습니다.
경품 사기를 당하면 플랫폼과 담당 기관에 신고하세요. 사기를 신고하면 다른 사람이 사기를 당하는 것을 막을 수 있습니다.
그림 10: 암호화폐 사기 페이지의 추가 예시
결론
경품 사기는 소셜 미디어에서 점점 더 심각한 문제로 대두되고 있습니다. 경품 사기는 두 가지 감정의 요소에 의존합니다. FOMO(소외되는 것에 대한 두려움)와 인생을 바꿀 수도 있는 엄청난금전적 이득에 대한 기대입니다. 이러한 사기가 광범위한 소셜 엔지니어링 기법과 짝을 이루면, 사람들은 온라인 경계에 대한 가르침을 무시하게 됩니다.
그러나 사기 키트는 면밀히 조사하면 비교적 쉽게 찾을 수 있습니다. 이러한 사기에 당하지 않고 암호화폐를 안전하게 보관하려면 공격자가 도입하는 새로운 방법과 조치에 대한 교육을 지속적으로 받아야 합니다. 기억하세요. 너무 좋아서 사기일 것 같다는 느낌이 들 정도면, 실제로 사기가 맞습니다!
자세히 보기
Akamai 연구원들은 이러한 종류의 사기 및 기타 악성 활동을 지속적으로 탐색하고 있습니다. 모든 보안 분야의 최신 연구를 알아보려면 Twitter에서 Akamai를 팔로우하세요.
감염 징후:
