어둠의 숲 속 "고객 서비스": 코인베이스 사용자를 노리는 소셜 엔지니어링 사기

avatar
Bitpush
05-23
이 기사는 기계로 번역되었습니다
원문 표시

저자: 리즈 & 리사

편집자: 셰리


배경


암호화폐 자산 분야에서 사회공학적 공격은 사용자 자금 보안에 큰 위협이 되고 있습니다. 2025년 이후 코인베이스 사용자를 표적으로 삼는 사회공학적 사기가 대량 발생하여 커뮤니티의 광범위한 관심을 받고 있습니다. 커뮤니티의 논의를 통해 이러한 사건들이 단발적인 사례가 아니라 지속적이고 조직적인 특징을 가진 사기 유형임을 쉽게 알 수 있습니다.


영상


5월 15일, 코인베이스는 코인베이스에 "내부자"가 있다는 기존 추측을 확인하는 발표를 발표했습니다. 미국 법무부(DOJ)가 데이터 유출 사건에 대한 조사에 착수한 것으로 알려졌습니다.


이 글에서는 여러 보안 연구원과 피해자가 제공한 정보를 종합하여 사기꾼이 사용하는 주요 수법을 밝히고 , 플랫폼과 사용자 관점에서 이러한 사기에 효과적으로 대처하는 방법을 살펴봅니다.


영상

( https://x.com/coinbase/status/1922967576209998133 )


역사적 분석


온체인 의 형사 Zach는 5월 7일 Telegram 업데이트에서 "지난주만 해도 소셜 엔지니어링 사기로 Coinbase 사용자들로부터 4,500만 달러 이상이 도난당했습니다."라고 적었습니다.


영상


지난 한 해 동안 잭은 자신의 텔레그램 채널과 X 플랫폼을 통해 코인베이스 사용자 도난 사건을 반복적으로 공개했으며, 이로 인해 개별 피해자들은 수천만 달러의 손실을 입었습니다. 2025년 2월, 잭은 상세한 조사 결과를 발표하며 2024년 12월부터 2025년 1월까지 유사한 사기로 도난당한 총액이 6,500만 달러를 초과했다고 밝혔습니다. 또한, 코인베이스가 심각한 "소셜 엔지니어링 사기" 위기에 직면해 있으며, 이러한 공격이 연평균 3억 달러 규모의 사용자 자산 보안을 지속적으로 침해하고 있다고 밝혔습니다. 그는 또한 다음과 같이 지적했습니다.


  • 이런 종류의 사기를 주도하는 갱단은 크게 두 가지 범주로 나눌 수 있습니다. 하나는 COM 서클의 저수준 공격자(스키드)이고, 다른 하나는 인도에 기반을 둔 사이버 범죄 조직입니다.


  • 사기 조직은 주로 미국 사용자를 표적으로 삼으며, 표준화된 수법과 성숙한 수사 과정을 사용합니다.


  • 실제 손실액은 체인에 표시되는 통계보다 훨씬 더 높을 수 있습니다. 이는 코인베이스 고객 서비스 티켓이나 접근할 수 없는 경찰 보고서 기록과 같은 공개되지 않은 정보가 포함되지 않았기 때문입니다.


영상

(https://x.com/zachxbt/status/1886411891213230114)


사기 수법


이 사건에서 코인베이스의 기술 시스템은 침해 되지 않았습니다 . 사기꾼들은 내부 직원의 권한을 이용하여 일부 사용자의 민감한 정보를 획득했습니다. 이 정보에는 이름, 주소, 연락처 정보, 계좌 정보, 신분증 사진 등이 포함됩니다. 사기꾼들의 궁극적인 목표는 소셜 엔지니어링 기법을 사용하여 사용자가 돈을 이체하도록 유도하는 것입니다.


영상

( https://www.coinbase.com/blog/protecting-our-customers-standing-up-to-extortionists )


이러한 공격 방식은 기존의 "그물 던지기" 피싱 방식을 변화시켜 "맞춤형" 사회공학적 사기라고 할 수 있는 "정밀 공격"으로 전환되었습니다. 일반적인 범죄 경로는 다음과 같습니다.


1. "공식 고객센터"로 문의하세요.


사기꾼들은 코인베이스 고객 서비스로 위장하기 위해 가짜 전화 시스템(PBX)을 사용하고, 사용자에게 전화를 걸어 "계정이 불법적으로 로그인되었습니다" 또는 "출금 이상 징후가 감지되었습니다"라고 말하며 긴박한 분위기를 조성합니다. 그런 다음, 가짜 작업 주문 번호나 "복구 절차" 링크가 포함된 가짜 피싱 이메일이나 문자 메시지를 보내 사용자를 유도합니다. 이러한 링크는 복제된 코인베이스 인터페이스를 가리키거나 공식 도메인에서 보낸 것처럼 보이는 이메일을 보낼 수도 있습니다. 일부 이메일은 보안 기능을 우회하기 위해 리디렉션 기술을 사용합니다.


영상


2. 사용자에게 Coinbase Wallet을 다운로드하도록 안내합니다.


사기꾼은 "자산 보호"를 이유로 사용자에게 "안전한 지갑"으로 자금을 이체하도록 유도합니다. 또한 사용자가 Coinbase Wallet을 설치하도록 돕고, Coinbase에 원래 호스팅된 자산을 새로 생성된 지갑으로 이체하도록 지시합니다.


3. 사기꾼이 제공한 니모닉 단어 사용하도록 사용자를 유도합니다.


기존의 "사기성 니모닉 단어"와는 달리 사기꾼은 직접 생성한 니모닉 단어 세트를 제공하여 사용자가 이를 "공식적인 신규 지갑"으로 사용하도록 유도합니다.


4. 사기꾼은 자금을 훔칩니다.


피해자들은 불안하고 초조한 마음으로 "고객 서비스"를 신뢰하기 때문에 쉽게 함정에 빠집니다. 피해자들은 "공식" 새 지갑이 "해킹 의심" 기존 지갑보다 당연히 더 안전하다고 생각합니다. 따라서 자금이 새 지갑으로 이체되면 사기꾼들은 즉시 자금을 빼돌릴 수 있습니다. 키도, 코인도 말이죠. - 이러한 개념은 소셜 엔지니어링 공격에서 다시 한번 입증되었습니다.


또한 일부 피싱 이메일은 "집단 소송 판결로 인해 코인베이스가 자체 호스팅 지갑으로 완전히 이전될 것"이라고 주장하며 사용자에게 4월 1일 이전에 자산 이전을 완료할 것을 요구합니다. 촉박한 시간 압박과 "공식 지침"이라는 심리적 암시로 인해 사용자는 해당 작업에 협조할 가능성이 더 높습니다.


영상

( https://x.com/SteveKBark/status/1900605757025882440 )


@NanoBaiter에 따르면, 이러한 공격은 종종 조직적인 방식으로 계획되고 실행됩니다.


  • 사기 도구 체인이 완성되었습니다 . 사기꾼들은 PBX 시스템(예: FreePBX, Bitrix24)을 사용하여 수신 전화번호를 위조하고 공식 고객 서비스 전화를 가장합니다. 피싱 이메일을 보낼 때는 텔레그램의 @spoofmailer_bot을 사용하여 공식 코인베이스 이메일 주소를 위조하고, "계정 복구 가이드"를 첨부하여 송금을 안내합니다.

  • 정밀한 타겟팅 : 사기꾼들은 텔레그램 채널과 다크웹(예: "5k COINBASE US2", "100K_USA-gemini_sample")에서 구매한 사용자 데이터를 훔쳐 미국 코인베이스 사용자를 주요 타깃으로 삼습니다. 심지어 ChatGPT를 사용하여 훔친 데이터를 처리하고, 전화번호를 분할 및 재구성하고, TXT 파일을 일괄 생성한 후, 블라스팅 소프트웨어를 통해 SMS 사기를 저지릅니다.

  • 사기 수법은 일관성이 있습니다 . 전화, 문자 메시지, 이메일 등 사기 수법은 대개 원활하고 일관성이 있습니다. 일반적인 피싱 문구에는 "계좌 출금 요청이 접수되었습니다", "비밀번호가 재설정되었습니다", "계정 로그인이 비정상적입니다" 등이 있으며, 이는 피해자가 지갑 이체가 완료될 때까지 "보안 확인"을 수행하도록 유도합니다.
영상
(https://x.com/NanoBaiter/status/1923099215112057010)


MistTrack 분석


저희는 온체인 자금세탁 방지 및 추적 시스템인 MistTrack(https://misttrack.io/)을 사용하여 Zach가 공개하고 저희가 양식을 통해 접수한 사기꾼들의 주소 중 일부를 분석했습니다. 그 결과, 해당 사기꾼들이 강력한 온체인 운영 역량을 보유하고 있음을 확인했습니다. 주요 정보는 다음과 같습니다.


사기꾼들의 표적은 코인베이스 사용자들이 보유한 다양한 자산입니다. 이 주소들의 활동 기간은 2024년 12월에서 2025년 5월 사이에 집중되어 있으며, 주로 비트코인(BTC)과 이더리움(ETH)입니다. 현재 사기의 주요 표적은 비트코인(BTC)이며, 여러 주소에서 최대 수백 비트코인에 달하는 일회성 수익을 올렸고, 단일 거래로 수백만 달러 상당의 수익을 올렸습니다.

영상


자금을 확보한 후, 사기꾼들은 일련의 자금세탁 절차를 신속하게 사용하여 자산을 교환하고 이전합니다. 주요 수법은 다음과 같습니다.


  • ETH 자산은 종종 Uniswap을 통해 DAI 또는 USDT로 빠르게 전환된 후 여러 개의 새로운 주소로 분산되어 전송되며, 일부 자산은 중앙 집중식 거래 플랫폼으로 들어갑니다.



영상


  • BTC는 주로 THORChain, Chainflip 또는 Defiway Bridge를 통해 이더 으로 전송된 다음 추적 리스크 피하기 위해 DAI 또는 USDT로 변환됩니다.

영상


여러 사기 주소는 DAI 또는 USDT를 받은 후에도 여전히 "휴면" 상태에 있으며 아직 전송되지 않았습니다.

영상


의심스러운 주소와 귀하의 주소가 상호 작용하여 자산이 동결 되는 리스크 을 피하기 위해, 사용자는 온체인 자금세탁 방지 및 추적 시스템인 MistTrack(https://misttrack.io/)을 사용하여 거래 전에 대상 주소에 대한 리스크 감지를 수행하여 잠재적 위협을 효과적으로 피하는 것이 좋습니다.


대책


플랫폼


현재 주류 보안 조치는 "기술적 보호 계층"에 더 가깝지만, 사회 공학적 사기는 이러한 메커니즘을 우회하여 사용자의 심리적, 행동적 허점을 직접 공격하는 경우가 많습니다. 따라서 플랫폼은 사용자 교육, 보안 훈련, 그리고 사용성 설계를 통합하여 "사람 중심" 보안 방어선을 구축하는 것이 좋습니다.


  • 정기적으로 사기 방지 교육 콘텐츠를 홍보합니다 . 앱 팝업, 거래 확인 인터페이스, 이메일 등을 통해 사용자의 피싱 방지 역량을 개선합니다.


  • 위험 관리 모델을 최적화 하고 "상호작용적 이상 행동 식별"을 도입합니다 . 대부분의 소셜 엔지니어링 사기는 사용자가 단시간 내에 일련의 작업(예: 송금, 허용 목록 변경, 기기 바인딩 등)을 완료하도록 유도합니다. 플랫폼은 행동 체인 모델을 기반으로 의심스러운 상호작용 조합(예: "빈번한 상호작용 + 새 주소 + 거액 인출")을 식별하고, 냉각 기간 또는 수동 검토 메커니즘을 적용해야 합니다.


  • 고객 서비스 채널 및 확인 메커니즘 표준화 : 사기꾼들은 종종 고객 서비스를 사칭하여 사용자를 혼란스럽게 합니다. 플랫폼은 전화, SMS, 이메일 템플릿을 통합하고, 유일한 공식 소통 채널을 명확히 하기 위해 "고객 서비스 확인 입구"를 제공해야 합니다. 이를 통해 혼란을 방지해야 합니다.


사용자


  • 신원 격리 전략 구현 : 공동 리스크 줄이기 위해 여러 플랫폼에서 동일한 이메일 주소나 휴대폰 번호를 공유하지 마십시오. 유출 쿼리 도구를 사용하여 이메일 주소 유출 여부를 정기적으로 확인할 수 있습니다.


영상

( https://haveibeenpwned.com/ )


  • 송금 허용 목록과 출금 냉각 메커니즘을 활성화합니다 . 신뢰할 수 있는 주소를 미리 설정하여 비상 상황에서 자금 손실 리스크 줄입니다.


  • 보안 뉴스를 주시하세요 . 보안 회사, 미디어, 거래 플랫폼 및 기타 채널을 통해 최신 공격 기법을 파악하고 경계를 늦추지 마세요. 슬로우 미스트 (SlowMist), @DeFiHackLabs, @realScamSniffer가 개발한 Web3 피싱 훈련 플랫폼이 곧 출시됩니다. 이 플랫폼은 사회 공학적 포이즈닝, 서명 피싱, 악성 계약 상호 작용 등 다양한 일반적인 피싱 기법을 시뮬레이션하고, 과거 논의에서 수집된 실제 사례를 결합하여 시나리오 콘텐츠를 지속적으로 업데이트합니다. 사용자는 제로 리스크 환경에서 식별 및 대응 역량을 향상시킬 수 있습니다.


  • 오프라인 리스크 과 개인정보 보호에 주의하세요 . 개인정보 유출은 개인의 안전 문제를 야기할 수도 있습니다.


영상


이는 근거 없는 걱정이 아닙니다. 올해 초부터 암호화폐 사용자/실무자들은 개인 안전을 위협하는 여러 사고에 직면해 왔습니다. 유출된 데이터에는 이름, 주소, 연락처, 계좌 정보, 신분증 사진 등이 포함되어 있으므로, 관련 사용자들도 오프라인에서도 경계하고 안전에 주의를 기울여야 합니다.


영상


간단히 말해서, 회의적인 태도를 유지하고 지속적으로 검증하십시오. 긴급 작전을 수행할 때는 상대방에게 신원 증명을 요청하고 공식 채널을 통해 독립적으로 검증하여 압박 속에서 돌이킬 수 없는 결정을 내리는 것을 방지하십시오. 더 많은 보안 조언과 새로운 공격 방법은 블록체인 다크 포레스트 셀프가드 핸드북( https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/)을 참조하십시오.


요약하다


이번 사건은 점점 더 정교해지는 소셜 엔지니어링 공격 기법 대면 다시 한번 드러냈습니다. 플랫폼 내 관련 직책에 재정 권한이 없고 충분한 보안 인식과 역량이 부족하더라도, 의도치 않은 유출이나 시스템 전복으로 인해 심각한 결과가 발생할 수 있다는 점에 유의해야 합니다. 플랫폼이 지속적으로 확장됨에 따라 인력 보안 관리 및 통제의 복잡성이 증가했으며, 이는 업계에서 가장 극복하기 어려운 리스크 중 하나가 되었습니다. 따라서 플랫폼은 온체인 보안 메커니즘을 강화하는 동시에 내부 인력 및 아웃소싱 서비스를 포괄하는 "소셜 엔지니어링 방어 시스템"을 체계적으로 구축하고, 인적 리스크 전반적인 보안 전략에 통합해야 합니다.


또한, 공격이 단발적인 사건이 아니라 조직적이고 대규모이며 지속적인 위협이라는 사실이 발견되면 플랫폼은 즉시 대응하고, 잠재적 취약점을 사전에 점검하며, 사용자에게 예방 조치를 취하도록 알리고, 피해 범위를 통제해야 합니다. 기술적 차원과 조직적 차원 모두에서 대응해야만 점점 더 복잡해지는 보안 환경에서 진정한 신뢰와 수익을 유지할 수 있습니다.

섹터:
Halving 토큰
출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠