비트코인(BTC) 등의 암호 화폐 거래소 중 코인원(Coinone) 계정 정보를 탈취할 목적으로 발송된 해외 로그인 IP 차단 메시지를 통해 피싱(Phishing) 사이트로 접속을 유도하는 사례를 확인해 보겠습니다.
웹(Web) 발신 문자를 통해 수신된 문자에서는 코인원(COINONE)에서 발송한 것처럼 언급하고 있으며, "고객님 계정이 해외에서 로그인되었습니다. IP차단후 사용주세요. www.coinonet.net" 내용이 이 포함되어 있습니다.
다른 문자를 받으신 분의 제보에 따르면 "[Web발신] [COINONE] 고객님계정이 해외에서 로그인되었습니다. IP지정후 사용주세요. www.coinonek.net" 내용으로도 유포되었다고 합니다.
기본적으로 문자 메시지가 Web발신이라는 점과 일부 문자 내용이 능숙한 한국어가 아니라는 점에서 1차적으로 위험한 문자임을 알아야 할 것입니다.
문자에 표시된 도메인(www.coinonet.net) 정보를 조회해보면 2021년 4월 26일 홍콩(HongKong)에 위치한 웹 서버를 통해 호스팅되고 있는 것을 알 수 있습니다.
실제 접속을 진행해보면 첫 화면에서 "피싱 피해 및 암호화폐 거래대행 주의" 이미지 창을 표시하여 피싱 사기, 해외 IP 차단, 수사기관 또는 공공기관 사칭이라는 실제 코인원(Coinone) 공지 이미지와 거의 유사하게 제작된 것을 확인할 수 있습니다.
코인원(Coinone) 정식 사이트를 방문해보면 HTTPS 주소를 사용하고 있으며, 피싱(Phishing) 사이트처럼 "피싱 피해 및 암호화폐 거래대행 주의" 팝업 메시지를 통해 피싱 사기, 암호화폐 거래대행, 수사기관 또는 공공기관 사칭에 대한 주의를 당부하고 있습니다.
피싱 사이트에서 제시하는 로그인 페이지에서는 "해외IP 로그인이 감지되였습니다. 단말기지정 서비스를 신청해주세요."라는 일부 맞춤법이 틀린 문구를 통해 이메일 주소와 비밀번호를 입력하여 로그인하도록 유도하고 있습니다.
해당 로그인 페이지의 소스를 확인해보면 주석 처리된 부분에서 다음과 같은 중국어(Chinese)가 포함되어 있는 것을 알 수 있습니다.
<!--qing tian xie yonghuming he mi ma -->
사용자 이름과 비밀번호를 입력하세요
<!--you jian he mima geshi wuxiao-->
잘못된 이메일 및 비밀번호 형식
만약 가짜 코인원 문자를 받은 사용자가 피싱(Phishing) 사이트에 접속하여 로그인을 시도할 경우 이메일 주소 유효성 체크 등을 통해 유효한 값일 경우 "로그인중..."이라는 문구를 표시하면서 정보를 전송할 것으로 보입니다.
이번에 확인된 코인원(Coinone) 피싱 문자의 경우 무차별적으로 발송되는 것이 아닌 실제 코인원 거래소 이용자로 추정되는 회원을 대상으로 발송될 것으로 보이며, 휴대폰을 통해 문자를 확인하여 모바일로 피싱 사이트에 접속하는 과정에서 PC와는 다르게 화면이 작은 문제로 인해 접속 사이트 주소 등을 제대로 확인하지 않을 수 있다는 점에서 피해를 당할 가능성이 높을 것으로 보입니다.
그러므로 문자를 통해 수신된 주소를 클릭하여 접속한 경우 로그인을 유도할 경우에는 절대로 계정 정보를 입력하여 로그인을 시도하지 마시고, 사용하는 웹 브라우저를 통해 즐겨찾기 또는 인터넷 검색을 통해 사이트를 찾아 접속하여 내용을 확인하는 것을 추천합니다.