보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

가상화폐 ‘트론(TRX)’ 에어드랍으로 위장한 피싱 메일 주의보

입력 : 2023-08-30 17:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
에어드랍 받기 버튼 클릭 시 피해자의 가상화폐 전액 탈취 당해

[보안뉴스 이소미 기자] 보안전문기업 하우리(대표 김희천)는 특정 가상화폐 탈취를 위한 에어드랍(airdrop)을 위장한 피싱 메일이 유포되고 있어 주의가 필요하다고 밝혔다.

▲가상화폐 트론(TRX) 홀더들을 겨냥한 피싱 메일[이미지=하우리]


해당 피싱 메일은 ‘테더 재단, TRX 홀더들을 위한 에어 드랍 진행’이라는 제목으로 발송되며, 발신인 또한 ‘트론 코리아’를 사칭해 발송되므로 메일 수신자가 유심히 보지 않으면 피해가 발생할 수 있다.

최근 가상화폐 가격이 전반적으로 하락한 상태로 해당 피싱 메일은 가상화폐 홀더들에게 희소식으로 느껴질 수 있다. 따라서, 가상화폐 추가 무상 지급이라는 에어드랍(airdrop)의 명목으로 발송되기 때문에 더욱 주의가 필요하다.

공격자는 에어드랍을 받기 위한 인증 절차 진행을 위해 ‘지갑 인증’이라는 허위 링크로 메일 수신자의 접속을 유도한다.

▲특정 주소로 접속을 유도하는 ‘지갑 인증’ 링크[이미지=하우리]


▲가상화폐 탈취용 가짜 QR코드[이미지=하우리]


해당 사이트에 접속해보면 비트 토렌트의 USDT를 에어 드랍한다는 내용과 함께 QR코드 팝업을 출력해, QR코드를 사용자가 인증하면 공격자에게 코인이 전송된다. QR 뿐만 아니라 웹 (크롬 확장 프로그램 지갑)으로도 사용자의 지갑을 인증하게 되면 공격자에게 코인이 전송된다.

다음 단계로 현재 설치되어 있는 지갑을 연결한 후 에어드랍 받기 버튼을 클릭하게 되면 피해자의 TRX 지갑 주소를 탈취해 서버로 전송하고, 피해자의 TRX 지갑 코인 보유량과 공격자의 TRX 주소 지갑이 반환된다.

▲피해자의 가상화폐 지갑 주소 탈취[이미지=하우리]


▲공격자의 가상화폐 주소 지갑 반환[이미지=하우리]


그리고 서명을 하라는 인증 창이 뜨는데, 서명 주소는 공격자의 지갑 주소다. 만약 최종 서명을 진행하게 된다면 메일 수신자의 특정 가상화폐(트론:TRX) 전액을 탈취해 공격자의 TRX 주소로 전송하게 된다.

▲탈취된 가상화폐 지갑 화면[이미지=하우리]


▲특정 가상화폐 탈취 코드[이미지=하우리]


공격자의 TRX 지갑현황으로 현재까지도 피싱으로 인한 피해자가 발생하고 있어 공격자에게 부당한 수익이 계속 증가되고 있음을 확인할 수 있다.

▲공격자의 TRX 지갑 현황[이미지=하우리]


하우리 보안대응센터는 “최근 다양한 방법과 고도화된 피싱 메일이 지속적으로 발견되고 있으므로 주의가 필요하다”면서, “이번에 발견된 피싱 메일처럼 에어드랍을 가장해 중요한 금융정보 또는 개인정보를 요구하는 메일·메시지를 받게 된다면 반드시 수신자가 요구자의 소속·요구내용의 진위 여부를 재확인하는 등 신중하고 꼼꼼한 습관만이 큰 피해를 예방할 수 있는 최선의 방법”이라고 당부했다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)