새로운 암호화폐 피싱 캠페인
최근 암호화폐 커뮤니티를 겨냥한 정교한 피싱 캠페인이 발견되었습니다. 이 공격은 2단계 인증(2FA)을 우회하며, 전통적인 사기보다 훨씬 더 신뢰할 수 있는 방식으로 진행됩니다. 암호화폐 개발자 Zak Cole의 수요일 X 게시물에 따르면, 이 피싱 캠페인은 X의 자체 인프라를 활용하여 암호화폐 인물들의 계정을 탈취하고 있습니다. 그는
“제로 탐지. 현재 활성화 중. 전체 계정 탈취,”
라고 경고했습니다. Cole은 이 공격이 가짜 로그인 페이지나 비밀번호 도용을 포함하지 않는다고 강조했습니다. 대신, X 애플리케이션 지원을 활용하여 계정 접근을 얻고 2단계 인증을 우회합니다. MetaMask 보안 연구원 Ohm Shah는 이 공격을 “실제 환경에서” 목격했다고 확인하며, 더 넓은 캠페인을 시사했습니다. 또한, OnlyFans 모델도 덜 정교한 버전의 공격에 표적이 되었습니다.
신뢰할 수 있는 공격 방식
이 피싱 캠페인의 주목할 만한 특징은 얼마나 신뢰할 수 있고 은밀한가입니다. 공격은 공식 Google Calendar 도메인으로 리디렉션되는 것처럼 보이는 링크가 포함된 X 다이렉트 메시지로 시작됩니다. 이는 소셜 미디어 플랫폼이 미리보기를 생성하는 방식 덕분입니다. Cole의 경우, 메시지는 벤처 캐피탈 회사 Andreessen Horowitz의 대표로부터 온 것처럼 가장했습니다.
링크된 도메인은 x(.)ca-lendar(.)com이며, 토요일에 등록되었습니다. 그럼에도 불구하고 X는 사이트의 메타데이터가 X가 메타데이터에서 미리보기를 생성하는 방식을 활용하여 미리보기에서 합법적인 calendar.google.com을 보여줍니다.
“당신의 뇌는 Google Calendar를 봅니다. URL은 다릅니다.”
클릭하면 페이지의 JavaScript가 X 인증 엔드포인트로 리디렉션되어 소셜 미디어 계정에 접근하기 위한 앱의 권한을 요청합니다. 앱은 “Calendar”로 보이지만, 텍스트의 기술적 검토 결과, 애플리케이션 이름에는 “a”와 “e”처럼 보이는 두 개의 키릴 문자로 구성되어 있어 X 시스템의 실제 “Calendar” 앱과는 다른 앱임을 알 수 있습니다.
피싱 공격의 신호
지금까지 링크가 합법적이지 않았던 가장 명백한 신호는 사용자가 리디렉션되기 전에 잠깐 나타났던 URL일 수 있습니다. 이는 아마도 단지 1초의 일부에 불과했으며, 놓치기 쉽습니다. 그럼에도 불구하고 X 인증 페이지에서는 이것이 피싱 공격이라는 첫 번째 힌트를 찾을 수 있습니다. 앱은 계정 제어 권한에 대한 긴 목록을 요청하며, 여기에는 계정을 팔로우 및 언팔로우하고, 프로필 및 계정 설정을 업데이트하고, 게시물을 생성 및 삭제하고, 다른 사람의 게시물에 참여하는 등의 권한이 포함됩니다. 이러한 권한은 캘린더 앱에는 불필요해 보이며, 신중한 사용자를 공격에서 구할 수 있는 힌트가 될 수 있습니다. 권한이 부여되면 공격자는 사용자가 Google Calendar 미리보기에도 불구하고 calendly.com으로 리디렉션되는 또 다른 힌트를 받으면서 계정에 접근하게 됩니다.
“Calendly? 그들은 Google Calendar를 가장했지만, Calendly로 리디렉션하나요? 주요 운영 보안 실패입니다. 이 불일치는 피해자에게 경고할 수 있습니다,”
라고 Cole은 강조했습니다. Cole의 공격에 대한 GitHub 보고서에 따르면, 프로필이 손상되었는지 확인하고 공격자를 계정에서 제거하려면 X 연결 앱 페이지를 방문하는 것이 좋습니다. 그런 다음 그는 “Calendar”라는 이름의 앱을 취소할 것을 제안합니다.
