파산한 암호화폐 대출 업체인 셀시우스 네트워크(Celsius Network)의 채권자를 타겟으로 한 셀시우스 코인 피싱 공격이 최근 발생하고 있다. 셀시우스 네트워크는 자체 발행한 CEL 코인을 사용하며, 비트코인, 이더리움 등의 다양한 암호화폐를 셀시우스 지갑에 예치해 수익을 얻거나 예치한 자금을 담보로 대출을 받을 수 있는 플랫폼이다. 2022년 7월 파산한 셀시우스로 인해 셀시우스 코인 인출이 제한된 채권자들은 자금 회수 청구 대리인인 ‘Stretto’에 투자한 자금에 대한 환불을 요청 중이다.
이러한 상황에 놓인 셀시우스 코인 투자자를 대상으로 한 피싱 공격은 Stretto를 사칭한 피싱 메일과 피싱 사이트로부터 시작되었다. 셀시우스 코인 피싱 피해자들은 no-reply@stretto.com 이라는 메일 주소로 “채권자들에게 인출 제한된 자금을 청구할 수 있는 7일 간의 기간을 제공하겠다.”주장하는 메일을 수신했다고 한다. 피싱 메일의 본문에는 자금 환불 청구를 위한 웹사이트로 case-stretto[.]com 이라는 링크가 안내되고 있으며, 클릭 시 claims-stretto[.]com이라는 stretto의 피싱 사이트로 접속 된다.
URL 스캔으로 셀시우스 코인 피싱 가짜 사이트 탐지하는 방법
아래는 현재 셀시우스 코인 채권자들에게 뿌려지고 있는 위조된 Stretto의 피싱 사이트와 실제 Stretto의 웹사이트를 비교한 것이다. 실제 Stretto 사이트는 https://cases.stretto.com/celsius/claims/ 링크에 접속하면 확인할 수 있다.
얼핏 보기에 Stretto의 정상 사이트와 구별하기 어렵고, 웹사이트 URL 또한 실제 사이트와 유사한 형태라 구분하기 어렵다.
이 피싱 사이트에 접속하면 암호화폐 지갑을 연결하라는 팝업 창이 뜨는데, 여기서 지갑을 연동하게 되면 해커는 연결된 암호화폐 지갑 정보와 자산을 탈취할 수 있게 된다.
이렇게 교묘하게 짜여진 피싱 공격은 스팸 필터를 우회하도록 만들어져 스팸으로 표시되지 않는다. 때문에 피싱 공격을 예방하기 위해서는 메일에 삽입된 링크를 의심해야 한다.
실시간 URL 스캐너에 Celsius 코인 피싱 웹사이트 링크를 검색하여 스캔한 결과는 아래와 같다.
실시간 URL 스캔 결과 99%의 Critical 위험도로 분류 되었다. 피싱 가능성은 56.7% 이며, 도메인 생성 시기와 지리적 위치가 실제 웹사이트라고 볼 수 없다.
의심스러운 HTML 구성 요소와 가짜 파비콘도 사용된 것으로 보인다.
또한, Criminal IP 실시간 URL 스캔 리포트로는 직접 웹사이트에 접속하지 않고도 웹사이트의 실시간 스크린샷을 확인할 수 있다. Celsius 코인 피싱 사이트와 같은 해커에 의해 만들어진 웹사이트는 접속하는 것 만으로도 악성코드 감염 등으로 위험할 수 있다.
암호화폐 피싱 공격을 예방하는 방법
Celsius 코인 피싱 이메일을 수신할 경우, 최신 피싱 공격에 대한 뉴스를 참고하여 직접 메일의 진위 여부를 판단해야 하지만, 교묘한 속임수 때문에 결코 쉽지 않다.
교묘한 피싱 공격을 최대한 예방하기 위해서는 수신된 메일에 포함된 수상한 링크를 클릭하기 전 Criminal IP와 같은 URL 스캔 도구를 사용해야 한다. 매번 링크를 스캐너에 검사하기 번거롭다면, 피싱 차단 크롬 확장 프로그램을 브라우저에 설치하여 악성 링크로의 접속을 자동으로 차단하는 것을 추천한다.
관련하여 메타마스크의 구글 광고 피싱 사이트를 검열하는 방법에 대한 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP (https://www.criminalip.io/ko)
관련 글:
댓글 남기기