비트코인 사기 주의보! 입금 관련 피싱메일 유포 중
ASEC 분석팀은 비트코인 탈취를 목적으로 악성 메일이 국내에 유포 중임을 확인했다. 해당 메일 본문에는 비트코인 입금과 관련된 내용이 존재하고, 내부에 포함된 악성 URL 클릭 시 악성 웹사이트로 연결되는 것이 특징이다. 비트코인 스캠 메일 공격에 대해 자세히 알아본다.
비트코인 관련 스캠(Scam) 메일은 [그림 1]과 같이 Admin 관리자로 위장하여 Bitcoin Payment라는 메일 제목으로 유포되고 있다. 메일 본문에서는 “고객이 요청하신 대로 비트코인 포트폴리오 관리 사이트(www.fortcoin[.]net/signin)에 25 BTC($1,184,081.00 USD)를 입금했다는 내용과 함께 가입된 고객 ID와 비밀번호를 안내한다.
[그림 1] 피싱 메일 본문
해당 스캠 사이트(www.fortcoin[.]net)는 비트코인 포트폴리오 관리 사이트로 위장하고 있으며 포트폴리오 별로 지갑 관리, 입/출금, 이자 지급 서비스를 제공한다는 명목 하에 운용되고 있다. 메일 본문에 안내된 웹사이트로 접속하면 [그림 2]와 같은 로그인 페이지를 확인할 수 있다.
[그림 2] 로그인 페이지
첨부된 고객 ID와 비밀번호 입력하여 로그인하면 보안을 위해 패스워드 변경과 OTP를 발급받아 사용해야 한다는 메시지를 보여준다. 패스워드를 변경하면 인증 서버로부터 전용 계정을 부여 받은 것처럼 추후 다시 로그인 할 때, 동일한 고객 ID와 변경된 비밀번호로 기존 활동했던 세션을 그대로 이어 사용할 수 있다. 이러한 인증 체계를 사용하는 이유는 동일한 고객 ID를 이용하는 특정 그룹을 보다 쉽게 식별하고 관리하기 위한 것으로 추정된다. 참고로, 고객 ID마다 포트폴리오에 입금되어 있는 비트코인 수량이 다르다.
이후 OTP를 발급받기 위한 휴대폰 번호를 요구하며 SMS 방식을 이용할 경우, 인증 코드가 문자 메시지로 전송된다. 만약 한번이라도 인증에 사용된 번호라면 해당 번호와는 통신할 수 없다는 메시지를 보여준다. 이를 통해 공격자가 SMS 문자 메시지 인증 방식을 활용하여 사용자를 식별하는 것을 짐작해볼 수 있다.
휴대폰으로 전송된 OTP 코드를 입력하면 해당 계정은 온전하게 보호 되었으며, 앞으로 메시지함을 통해 커뮤니케이션을 하겠다는 메시지를 출력한다.
1. 첫번째 홀 – 포트폴리오 생성 페이지
공격자가 만들어 놓은 첫번째 홀은 포트폴리오 생성 페이지이다. 3, 6, 12개월마다 비트코인을 원하는 수량만큼 예치할 수 있으며, 해당 기간에 따른 비율만큼 이자를 지급한다는 명목으로 전용 계좌를 생성하여 사용자로부터 비트코인 입금을 유도한다.
*savePro 기능은 해당 포트폴리오의 최소 출금 한도를 제한하는 정책이다.
● 3개월 예치 시 이자율 3%
● 6개월 예치 시 이자율 10%
● 12개월 예치 시 이자율 25%
[그림 3] 포트폴리오 생성 페이지
입금 전용 페이지에서 최소 입금 한도는 0.0005 BTC로 제한하고 있다. 생성된 포트폴리오를 선택하고 0.0005개 이상의 BTC 수량만큼 입력 후 ‘Deposit Now’ 버튼을 클릭하면 와 같이 매번 새로운 비트코인 지갑 주소가 생성된다.
[그림 4] 입금 전용 페이지
이는 실제 비트코인 블록체인 탐색기 상에서도 확인할 수 있다. 여기서 생성된 지갑의 개인키는 공격자가 가지고 있을 것으로 추정되며 이는 입금된 비트코인을 탈취하기 위한 수단으로 사용될 가능성이 높다.
2. 두번째 홀 – 이미 생성되어 있는 가짜 포트폴리오
공격자가 만들어 놓은 두번째 홀은 이미 생성되어 있는 가짜 포트폴리오 2이다. 로그인 시에 사용된 고객 ID의 경우, 기본적으로 25 비트코인을 12개월 예치한 포트폴리오2가 생성된다. 사이트 내 트렌젝션 페이지에서는 인위적으로 관리되는 포트폴리오 히스토리를 확인할 수 있다. 예치되어 있는 25개의 비트코인을 출금 시도하면, 첫 출금 제한으로 인해 0.0001 비트를 먼저 출금한 뒤 남은 자금을 회수 할 수 있다는 메시지를 보여준다.
[그림 5] 가짜 포트폴리오 2
실제로 입금 받을 비트코인 개인 지갑의 주소를 입력하고 0.0001 비트를 출금하면 공격자 추정 지갑(bc1qt80xra3r2df8gvzr0pu 8vce98ltk6zxlr3fx9z)으로부터 보통 하루 안에 0.0001비트가 입금되는 것을 확인 할 수 있다. 단 이미 사용된 휴대폰 번호로는 추가적인 중복 출금이 불가능하다.
이후 추가로 남은 24.9999 비트코인을 출금할 때, savePro 활성화로 인해 최소 25.006 BTC부터 출금이 가능하다고 하면서 해당 포트폴리오의 지갑 주소로 0.0061 BTC에 해당하는 차액을 추가 입금하도록 유도한다. 이는 공격자가 선 지불한 비용(0.0001 비트)의 60배에 해당하는 금액이다.
[그림 6] 출금 제한 메시지 (25.006 BTC 미만 출금 제한)
정리하면 공격자는 사용자에게 최소한의 눈속임 비용을 투자하여 이른바 ‘살을 내주고 뼈를 취하는’ 교묘한 공격 수법을 사용하고 있다. 이와 같은 공격으로 인한 피해를 예방하기 위해서는 출처를 알 수 없는 메일 수신 시, 첨부파일이나 메일에 포함 된 URL을 클릭하지 않아야 한다.
출처 : AhnLab