구글 검색으로 찾은 메타마스크 지갑, 해커가 파놓은 함정이었다
2021-11-05 09:32
실제 지갑 서비스와 유사한 피싱 사이트 만들고, 구글 검색광고 통해 상단에 노출
기존 사용자에겐 복구 구문 요구하고, 신규 가입자엔 해커가 만든 지갑 줘 자산 빼돌려
가상자산 관련 서비스 이용 시 URL 잘 확인하고, 검색에 노출되는 서비스는 클릭 말아야
기존 사용자에겐 복구 구문 요구하고, 신규 가입자엔 해커가 만든 지갑 줘 자산 빼돌려
가상자산 관련 서비스 이용 시 URL 잘 확인하고, 검색에 노출되는 서비스는 클릭 말아야
가상자산 지갑을 노리는 피싱(스캠)이 또 발견됐다. 특히 이번 공격은 구글 검색광고를 통해 피싱 서비스를 상위에 노출시켜 사용자를 속였다.
체크포인트리서치에 따르면 해커는 우선 팬텀, 메타마스크 등 유명 가상자산 지갑 서비스와 유사한 이름·인터페이스로 가짜 서비스를 만든다. 이후 해커는 가짜 서비스를 구글 검색광고에 노출시킨다. 구글 검색의 경우 광고비를 집행한 서비스가 가장 먼저 노출된다. 때문에 사용자가 '메타마스크' 등의 키워드를 검색하면 공식 서비스 대신, 해커의 광고가 먼저 보인다.
특히 해커는 검색 결과에 표시되는 인터넷 주소를 속이기 위해 도메인까지 위장했다. 예를 들어 팬텀은 '[.]app'라는 최상위 도메인을 사용하고, 메타마스크는 '[.]io' 도메인을 사용한다. 해커는 이를 '[.]pp'나 '[.]pw' 같은 식으로 속이는 수법을 썼다. 이른바 타이포 스쿼팅(Typo squirting) 공격이다.
가상자산을 처음 만드는 사용자에게는 해커가 이전에 생성한 빈 지갑의 복구 구문을 안내한다. 사용자가 이를 자신의 지갑이라고 인식한 뒤 가상자산을 보관하면, 복구 구문을 이미 알고 있는 해커가 해당 지갑에 접근해 자산을 유출한다.
체크포인트리서치는 "해커는 전통적인 '이메일 피싱' 대신 구글 검색을 주요 공격 수단으로 사용하며 가상자산 지갑에 접근한다. 특히 검색 결과에서 상단에 노출되기 위해 정교한 키워드를 선택하고, 주요 브랜드의 서비스를 모방한다. 이러한 유형은 앞으로도 빠르게 늘어날 것으로 보인다. 때문에 사용자가 클릭하는 인터넷 주소를 다시 확인하고, 현재 암호화폐 지갑과 관련된 상단 검색광고를 클릭하지 않길 바란다"고 말했다.