상세 컨텐츠

본문 제목

메타마스크 복구 구문(Recovery Phrase) 탈취를 시도하는 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2022. 12. 5. 10:57

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 
메타마스크를 위장한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 

메타마스크(Meta Mask)란 가상자산 지갑 서비스로, 암호화폐 뿐만 아니라 NFT도 관리할 수 있습니다. 

이번에 발견된 피싱 메일은 '지갑이 정지될 예정입니다'라는 내용과 함께 2단계 인증 활성화 버튼이 포함되어 있습니다. 

 

 

[그림 1] 메타마스크 피싱 메일



만일 사용자가 [Activate 2FA]버튼을 누르면, hxxps://2factor.ddns[.]net/mt/activation/?key=sdfhmcmls21vc9pneq1fdryyew6iyqif 페이지로 이동합니다.

 

해당 페이지에는 지갑이 정지될 예정이며, SMS인증 프로세스는 아래 페이지에서 쉽게 설정할 수 있다는 내용과 함께 하이퍼링크가 포함되어 있습니다. 

 

 

 

[그림 2] [Activate 2FA] 버튼 클릭 시 이동하는 피싱 페이지



사용자가 '네 알겠습니다. 계속' 링크를 누르면 hxxps://2factor.ddns[.]net/r39417778A4879290603085686521105926N351h/h74019902419932h56478P15574330i570628866/mywallet.php 페이지로 이동되며, 복구 구문(Recovery Phrase) 입력을 요구하는 페이지로 이동합니다. 

 

 

[그림 3] 복구 구문 입력을 유도하는 피싱 페이지



복구 구문(Recovery Phrase)이란 흔히 우리가 인터넷뱅킹을 할 때 사용하는 보안카드와 같은 개념으로, 소유주를 증명하는 것과 유사한 원리로 볼 수 있습니다. 


메타마스크에서 복구 구문을 이용하면 계정 백업 및 복구가 가능하기에 메타마스크의  핵심 보안요소로도 생각할 수 있습니다. 

만일 사용자가 피싱 페이지에 자신의 복구 구문을 모두 입력한다면, 복구 구문을 입력한 사용자 메타마스크 내 가상 자산들은 모두 공격자 손에 넘어간 것으로 볼 수 있습니다. 

메타마스크 피싱을 통한 가상 자산 탈취 사례는 이미 다수 존재하기 때문에 사용자들의 각별한 주의가 필요합니다. 

사용자 여러분들께서는 개인키 복원시를 제외하고는 어떠한 지갑도 복구 구문 입력을 요구하지 않는 점을 반드시 기억해야 하며, 이메일 내 링크를 통해 사이트 접속 시 반드시 사이트의 URL을 확인하는 습관을 길러야 하겠습니다. 

  

 



 

관련글 더보기

댓글 영역