사이버 범죄자 집단인 Scattered Spider가 기업을 침해하고 수백만 달러 규모의 암호화폐를 약탈한 11백만 달러 규모의 피싱 작전을 주도한 혐의로 기소되었습니다.
미국 당국은 이 계획을 주도한 5명의 개인에 대한 혐의를 밝혔습니다. 이 계획은 전국의 기업 직원들을 대상으로 했으며, 그들의 자격 증명을 악용하여 민감한 데이터와 개인 암호화폐 지갑에 접근했습니다.
암호화폐 카르텔, 스미싱으로 11백만 달러 갈취
이 작전은 단순하면서도 교활한 공격 벡터인 SMS 피싱, 즉 "스미싱"에 의존했습니다. 2021년 9월부터 2023년 4월까지 직원들은 고용주나 관련 IT 벤더인 것처럼 보이는 문자 메시지를 받았습니다.
이 메시지는 계정 비활성화 임박을 경고하며 가짜 웹사이트로 연결되었는데, 이는 정당한 회사 포털인 것처럼 위장되어 있었습니다. 여기서 직원들은 자신의 로그인 자격 증명을 무심코 제공했고, 이를 통해 해커들은 기업 네트워크와 결국 암호화폐 지갑의 열쇠를 얻을 수 있었습니다.
법원 문서는 이 집단의 정교한 행동을 상세히 묘사합니다. 먼저 그들은 직원들을 속여 정보를 공유하게 했고, 그 다음에는 이중 인증을 우회하여 피해자들이 로그인 시도를 승인하게 했습니다. 이를 통해 해커들은 기업 시스템에 침투하고, 지적 재산권을 훼손하며, 개인 데이터를 대량으로 수집할 수 있었습니다. 그러나 이 약탈은 여기서 끝나지 않았습니다.
도난당한 정보는 개인 암호화폐 계정에 대한 2차 공격의 기반이 되었습니다. 이 집단은 도난당한 데이터를 사용하여 11백만 달러 규모의 디지털 자산을 모르는 사이에 암호화폐 홀더들로부터 빼냈습니다.
"SCATTERED SPIDER와 같은 위협 행위자들이 어떻게 비싱(전화 피싱) 공격을 수행하여 로그인 자격 증명, 금융 정보 또는 보안 코드와 같은 민감한 정보를 공유하도록 피해자들을 속이는지 보여드립니다. 이러한 공격자들은 종종 IT 지원과 같은 신뢰할 수 있는 주체로 가장하여 피해자들의 순응을 조종합니다." 한 X 암호화폐 인플루언서가 말했습니다.
피고인들은 온라인 상에서 다양한 정체성을 가진 젊고 기술에 능숙한 개인들입니다. 그들 중 한 명은 23세의 Ahmed Hossam Eldin Elbadawy로, 'AD'라는 별명을 사용했습니다. 또 다른 한 명은 20세의 Noah Michael Urban으로, 'Sosa'와 'Elijah'라는 가명을 사용했습니다.
또한 미국에 거주하는 20세의 Evans Onyeaka Osiebo와 25세의 Joel Martin Evans, 'joeleoli'도 연루되어 있습니다. 마지막으로 22세의 Tyler Robert Buchanan은 영국에 거주하고 있습니다. 미국 당국은 이미 체포를 단행했으며, 피고인 중 한 명인 Urban은 플로리다에서 별도의 사기 혐의로도 기소되었습니다.
법적 결과는 심각합니다. 유죄 판결을 받으면 피고인들은 전자 사기 음모 혐의로 최대 20년의 연방 징역형을 받을 수 있으며, 관련 혐의에 대한 추가 형량과 신분 도용에 대한 의무 징역형도 부과될 수 있습니다. Tyler Buchanan의 경우 전자 사기 혐의만으로도 수십 년의 형량이 추가될 수 있습니다.
탈중앙화 자산의 인기가 높아짐에 따라 이를 악용하려는 자들의 창의성도 늘어나고 있습니다. 이 사례는 기업과 암호화폐 사용자들에게 피싱과 보안 강화 조치에 대해 경각심을 일깨워줍니다. 신뢰가 가치를 지니는 디지털 세상에서 안이함은 높고 때로는 파괴적인 대가를 치르게 됩니다.
