Home > 전체기사

25 BTC 출금을 미끼로 소액사기 시도하는 악성 메일 발견

  |  입력 : 2021-09-07 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
25 BTC 지급했다며 사용자 속여 사기 사이트로 유도
0.0001 BTC 인출 가능하게 한 뒤, 나머지 인출하려면 0.0061 BTC 추가 입금하라고 유도
공격자는 더 교묘하게 속이기 위해 자신의 손해도 감수해


[보안뉴스 이상우 기자] 비트코인 탈취를 목적으로 하는 악성 메일이 국내에 유포 중이다. 메일 본문에는 비트코인 입금과 관련된 내용이 있으며, 내부에 포함된 악성 URL 클릭 시에 사기 사이트로 연결되는 것이 특징이다. 사기 메일은 ‘Admin(관리자)’로 위장해 ‘Bitcoin Payment’이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 ‘고객이 요청하신 대로 비트코인 ​​포트폴리오 관리 사이트에 25BTC(한화로 약 15억 984만 5,826원)를 입금했다는 내용과 함께 가입된 고객 ID와 비밀번호를 안내한다.

[자료=안랩]


해당 사기 사이트는 비트코인 포트폴리오 관리 사이트로 위장하고 있으며, 포트폴리오 별로 지갑 관리, 입/출금, 이자 지급 서비스를 제공한다는 명목하에 운용되고 있다. 메일 본문에 안내된 사이트 주소로 접속 시 로그인 페이지를 확인할 수 있다. 첨부된 고객 ID와 비밀번호 입력해 로그인을 하게되면, 보안을 위해 패스워드 변경과 OTP를 발급받아 사용해야 한다는 메시지를 보여준다.

이어서 패스워드 변경을 진행할 경우, 인증 서버로부터 전용 계정을 부여 받은 것처럼 추후 다시 로그인 시에 동일한 고객 ID와 변경된 비밀번호로 기존에 활동했던 세션을 그대로 이어 사용할 수 있다. 이러한 인증 체계를 사용하는 이유는 동일한 고객 ID를 이용하는 특정 그룹을 보다 쉽게 식별하고 관리하기 위한 것으로 추정된다. 고객 ID마다 포트폴리오에 입금돼 있는 비트코인 수량이 다르기 때문이다.

이후 OTP를 발급받기 위한 휴대폰 번호를 요구하며 SMS 방식을 이용할 경우, 1회용 인증 코드가 문자 메시지로 전송된다. 만약 한번이라도 인증으로 사용된 번호라면 해당 번호와는 통신할 수 없다는 메시지를 보여준다. 이는 공격자가 SMS 문자 메시지 인증 방식을 통해 사용자를 식별하기 위한 것으로 보인다. SMS로 전송된 OTP 코드를 입력하면 ‘해당 계정은 온전하게 보호 되었으며 앞으로 메시지함 이용해 커뮤니케이션 하겠다’는 메시지를 보여준다.

공격자가 만들어 놓은 첫 번째 함정은 포트폴리오 생성 페이지이다. 3, 6, 12개월마다 비트코인을 원하는 수량만큼 예치할 수 있으며, 해당 기간에 따른 비율만큼 이자를 지급한다는 명목으로 전용 계좌를 생성해 사용자로부터 비트코인 입금을 유도하고 있다.

▲비트코인 예치 시 수익률을 보여주는 화면[자료=안랩]


입금 전용 페이지에서의 최소 입금 한도는 0.0005 BTC로 제한하고 있다. 생성된 포트폴리오를 선택하고 0.0005개 이상의 BTC 수량만큼 입력 후 ‘Deposit Now’ 버튼 클릭 시에 아래와 같이 매번 새로운 비트코인 지갑 주소가 생성된다. 이는 실제 비트코인 블록체인 탐색기 상에서도 확인할 수 있다. 여기서 생성되어진 지갑의 개인키는 공격자가 가지고 있을 것으로 판단되며, 이는 입금된 비트코인을 탈취하기 위한 수단으로 사용 수 있다.

로그인 시에 사용된 고객 ID는 기본적으로 25 비트코인을 12개월 예치한 포트폴리오가 진행 중에 있는 상태이며, 사이트 내에 있는 트렌젝션 페이지에서는 인위적으로 관리돼 있는 포트폴리오 히스토리를 확인할 수 있다. 공격자가 만들어 놓은 두 번째 함정은 이미 생성되어 있는 가짜 포트폴리오다. 예치되어 있는 25개의 비트코인을 출금 시도하려고 하면 첫 출금 제한으로 인해 0.0001 비트를 먼저 출금한 뒤에 남은 자금을 회수할 수 있다는 메시지를 보여준다.

실제로 입금받을 비트코인 개인 지갑의 주소를 입력하고 0.0001 비트에 대한 출금을 진행하게 되면 공격자 추정 지갑으로부터 보통 하루 안에 0.0001비트가 입금 되어지는 것을 확인 할 수 있다. 이미 한번 사용된 휴대폰 번호로는 더 이상의 중복 출금은 불가능하다.

▲남은 비트코인 출금 최소 비용을 맞추기 위해 추가 입금을 유도한다[자료=안랩]


이후 추가로 남은 24.9999 비트코인을 출금하려고 하면 ‘savePro’ 활성화로 인해 최소 25.006 BTC부터 출금 할 수 있다고 하면서, 해당 포트폴리오의 지갑 주소로 0.0061 BTC에 해당하는 차액을 추가 입금하도록 유도한다. 이는 공격자가 선 지불한 비용의 60배에 해당하는 금액이다.

공격자는 이처럼 사기를 성공하기 위해 사용자에게 최소한의 눈속임 비용을 지불하고 있다. 사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함 된 URL을 클릭하지 않도록 주의해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)